News : Journée européenne de la protection des données. Gagnez des accompagnements et des abonnements en vous inscrivant à notre quiz du 28 Janvier !

Logo Witik

RGPD : Définition

Le RGPD signifie Règlement Général sur la Protection des Données (GDPR en anglais). Il s’agit du texte qui encadre les opérations de traitement opérées par les entreprises sur les données personnelles des résidents européens.  Le RGPD, entré en vigueur en 2018 s’appuie sur des notions clé dont il faut bien...

Table des matières

Partager l'article
Partager sur facebook
Partager sur linkedin
Partager sur twitter
Partager sur email

Le RGPD signifie Règlement Général sur la Protection des Données (GDPR en anglais). Il s’agit du texte qui encadre les opérations de traitement opérées par les entreprises sur les données personnelles des résidents européens. 


Le RGPD, entré en vigueur en 2018 s’appuie sur des notions clé dont il faut bien comprendre la définition. Parce que son champ d’application est particulièrement large, une part importante des entreprises européennes ou non sont concernées par les obligations définies par le RGPD. Le Délégué à la Protection des Données ou DPO est responsable du RGPD dans les entreprises.


Quelle est la définition du RGPD ? A qui s’applique-t-il ? Quelles sont les définitions principales à connaître ? Quelles grandes règles le RGPD impose-t-il ? 


rgpd

Quelle est la définition du RGPD ? 


Le RGPD répond au doux nom de règlement UE 2016/679 du 27 avril 2016. Puisqu’il s’agit d’un règlement (et non d’une directive), il s’applique directement dans toute l’Europe sans passer par la transposition dans la législation des Etats membres. Il entre en vigueur en 2018 et devient la base légale de la protection des données des citoyens européens. 


En pratique, il s’appuie sur quelques notions fondamentales qu’il faut avoir en tête. En effet, une définition du RGPD pourrait être “le règlement qui encadre le traitement des données personnelles des résidents européens”. Il est donc utile de s’arrêter un instant sur les différents termes de cette définition. 


La notion de traitement des données, d’abord, est très large puisqu’elle désigne une opération ou un ensemble d’opérations portant sur des données personnelles. En d’autres termes, la collecte, le classement, l’utilisation de la donnée d’une façon ou d’une autre en fait un traitement.


A noter : le RGPD impose la tenue d’un registre des traitements de données, qui vient justement énumérer et contrôler les différentes opérations de traitement menées par l’entreprise. 


Ensuite, ce traitement intervient sur des données dites personnelles. La donnée personnelle se définit comme une information portant sur une personne physique identifiée ou identifiable. Il peut s’agit d’éléments évidents comme le nom ou le prénom, qui permettent bien d’identifier une personne, ou d’éléments plus ou moins directes comme une adresse, un numéro de téléphone, des caractéristiques physiques ou un ensemble d’informations comme les préférences d’achats, suffisamment précises pour dessiner une image unique de la personne concernée. 


Certaines de ces données peuvent recevoir un degré de protection particulière : c’est le cas des données sensibles qui portent sur des informations protégées par le RGPD, comme la santé, les préférences sexuelles, les croyances religieuses… 


Ces définitions du RGPD en font un texte très large qui a vocation à s’appliquer à toutes les activités de l’espace européen.


Qui est concerné par le RGPD ? 


Si on reprend notre définition du RGPD, on constate qu’elle désigne les données personnelles des résidents européens. Cette distinction est fondamentale.


D’abord, le RGPD s’applique donc aux entreprises européennes qui collectent ou opèrent un traitement sur les données de leurs clients, salariés ou partenaires européens. C’est le cas par exemple d’une entreprise française qui propose à ses clients d’entrer sur un fichier clients dans le cadre d’un programme de fidélité par exemple. 


Ensuite, les données personnelles ne peuvent porter que sur des personnes physiques. Recueillir des informations sur une personne morale, comme une entreprise par exemple, ne fait pas entrer le traitement dans le champ d’application du RGPD. 


Enfin, la terminologie de la réglementation insiste sur le fait que le RGPD porte sur les opérations de traitement sur les données personnelles de résidents européens. C’est donc bien le lieu de résidence de la personne concernée et non de l’entreprise qui compte. Les entreprises non-européennes qui agissent en Europe doivent donc respecter le RGPD. De même, si un transfert de données a lieu vers un pays non-européen avant traitement, par exemple, le RGPD continue de s’appliquer. 


Quels sont les grands principes définis par le RGPD ? 


Le RGPD définit quatre grands principes dont découlent les principales règles de la protection des données en Europe. 


D’abord, le RGPD renforce la notion de consentement par rapport à la législation antérieure. La gestion des consentements devient une dimension importante du travail des DPO et des responsables du RGPD dans les entreprises. Le consentement doit notamment être explicite et “positif”, c’est-à-dire prendre la forme d’une action de l’utilisateur, comme le fait de cliquer sur un bouton d’acceptation. 


Le consentement implique la transparence est est le deuxième grand principe défini par le RGPD. En effet, pour être valide, le consentement doit être éclairé. Cela suppose que l’entreprise partage une information claire sur la nature des données collectées et les objectifs poursuivis. 


Le droit des personnes est renforcé par le RGPD. Concrètement, il s’agit d’un ensemble de droits que les entreprises doivent garantir. On peut citer le droit d’accès, qui est défini comme la nécessité pour l’entreprise d’autoriser les utilisateurs à accéder aux informations et aux données les concernant. Le droit à l’oubli doit être respecté : toutes les informations et données personnelles doivent être supprimées sur demande de la personne concernée. Citons également le droit à la portabilité des données : c’est la possibilité pour un utilisateur de récupérer les données le concernant, par exemple pour les transmettre à un nouveau prestataire ou fournisseur de services. 


Enfin, un principe important du RGPD est la responsabilité de l’entreprise. Ce principe vise à renforcer l’auto-contrôle et se traduit par différentes mesures, comme la responsabilité d’une entreprise vis-à-vis de ses partenaires, ce qui implique de mener un audit des sous-traitants. On pense aussi à l’obligation de sécuriser la donnée. Enfin, c’est à l’entreprise de prouver que toutes les mesures de conformité au RGPD ont bien été prises et de pouvoir les présenter à une autorité compétente comme la CNIL. 


La définition du RGPD en fait un texte fondamental qui encadre le partage d’informations au sein de l’espace européen. Sa portée est très importante en ce qu’il englobe tous les secteurs d’activité et potentiellement toutes les entreprises ayant une activité en Europe. Dans ce contexte, mettre en place une politique RGPD devient primordial pour les entreprises.