News : JournĂ©e europĂ©enne de la protection des donnĂ©es. Gagnez des accompagnements et des abonnements en vous inscrivant Ă  notre quiz du 28 Janvier !

Logo Witik

RGPD : Définition

Table des matières

Le terme RGPD définit le Règlement Général sur la Protection des Données (GDPR en anglais). Il s’agit du texte qui encadre les opérations de traitement opérées par les entreprises sur les données personnelles des résidents européens. 


Le RGPD, entré en vigueur en 2018 s’appuie sur des notions clé dont il faut bien comprendre la définition. Parce que son champ d’application est particulièrement large, une part importante des entreprises européennes ou non sont concernées par les obligations définies par le RGPD. Le Délégué à la Protection des Données ou DPO est responsable du RGPD dans les entreprises.


Quelle est la dĂ©finition du RGPD ? A qui s’applique-t-il ? Quelles sont les dĂ©finitions principales Ă  connaĂ®tre ? Quelles grandes règles le RGPD impose-t-il ? 


rgpd

Quelle est la dĂ©finition du RGPD ? 


Le RGPD répond au doux nom de règlement UE 2016/679 du 27 avril 2016. Puisqu’il s’agit d’un règlement (et non d’une directive), il s’applique directement dans toute l’Europe sans passer par la transposition dans la législation des Etats membres. Il entre en vigueur en 2018 et devient la base légale de la protection des données des citoyens européens. 


En pratique, il s’appuie sur quelques notions fondamentales qu’il faut avoir en tĂŞte. En effet, une dĂ©finition du RGPD pourrait ĂŞtre “le règlement qui encadre le traitement des donnĂ©es personnelles des rĂ©sidents europĂ©ens”. Il est donc utile de s’arrĂŞter un instant sur les diffĂ©rents termes de cette dĂ©finition. 


La notion de traitement des données, d’abord, est très large puisqu’elle désigne une opération ou un ensemble d’opérations portant sur des données personnelles. En d’autres termes, la collecte, le classement, l’utilisation de la donnée d’une façon ou d’une autre en fait un traitement.


A noter : le RGPD impose la tenue d’un registre des traitements de donnĂ©es, qui vient justement Ă©numĂ©rer et contrĂ´ler les diffĂ©rentes opĂ©rations de traitement menĂ©es par l’entreprise. 


Ensuite, ce traitement intervient sur des donnĂ©es dites personnelles. La donnĂ©e personnelle se dĂ©finit comme une information portant sur une personne physique identifiĂ©e ou identifiable. Il peut s’agit d’élĂ©ments Ă©vidents comme le nom ou le prĂ©nom, qui permettent bien d’identifier une personne, ou d’élĂ©ments plus ou moins directes comme une adresse, un numĂ©ro de tĂ©lĂ©phone, des caractĂ©ristiques physiques ou un ensemble d’informations comme les prĂ©fĂ©rences d’achats, suffisamment prĂ©cises pour dessiner une image unique de la personne concernĂ©e. 


Certaines de ces donnĂ©es peuvent recevoir un degrĂ© de protection particulière : c’est le cas des donnĂ©es sensibles qui portent sur des informations protĂ©gĂ©es par le RGPD, comme la santĂ©, les prĂ©fĂ©rences sexuelles, les croyances religieuses… 


Ces définitions du RGPD en font un texte très large qui a vocation à s’appliquer à toutes les activités de l’espace européen.


Qui est concernĂ© par le RGPD ? 


Si on reprend notre définition du RGPD, on constate qu’elle désigne les données personnelles des résidents européens. Cette distinction est fondamentale.


D’abord, le RGPD s’applique donc aux entreprises europĂ©ennes qui collectent ou opèrent un traitement sur les donnĂ©es de leurs clients, salariĂ©s ou partenaires europĂ©ens. C’est le cas par exemple d’une entreprise française qui propose Ă  ses clients d’entrer sur un fichier clients dans le cadre d’un programme de fidĂ©litĂ© par exemple. 


Ensuite, les donnĂ©es personnelles ne peuvent porter que sur des personnes physiques. Recueillir des informations sur une personne morale, comme une entreprise par exemple, ne fait pas entrer le traitement dans le champ d’application du RGPD. 


Enfin, la terminologie de la rĂ©glementation insiste sur le fait que le RGPD porte sur les opĂ©rations de traitement sur les donnĂ©es personnelles de rĂ©sidents europĂ©ens. C’est donc bien le lieu de rĂ©sidence de la personne concernĂ©e et non de l’entreprise qui compte. Les entreprises non-europĂ©ennes qui agissent en Europe doivent donc respecter le RGPD. De mĂŞme, si un transfert de donnĂ©es a lieu vers un pays non-europĂ©en avant traitement, par exemple, le RGPD continue de s’appliquer. 


rgpd définition

Quels sont les grands principes dĂ©finis par le RGPD ? 


Le RGPD dĂ©finit quatre grands principes dont dĂ©coulent les principales règles de la protection des donnĂ©es en Europe. 


D’abord, le RGPD renforce la notion de consentement par rapport Ă  la lĂ©gislation antĂ©rieure. La gestion des consentements devient une dimension importante du travail des DPO et des responsables du RGPD dans les entreprises. Le consentement doit notamment ĂŞtre explicite et “positif”, c’est-Ă -dire prendre la forme d’une action de l’utilisateur, comme le fait de cliquer sur un bouton d’acceptation. 


Le consentement implique la transparence est est le deuxième grand principe dĂ©fini par le RGPD. En effet, pour ĂŞtre valide, le consentement doit ĂŞtre Ă©clairĂ©. Cela suppose que l’entreprise partage une information claire sur la nature des donnĂ©es collectĂ©es et les objectifs poursuivis. 


Le droit des personnes est renforcĂ© par le RGPD. Concrètement, il s’agit d’un ensemble de droits que les entreprises doivent garantir. On peut citer le droit d’accès, qui est dĂ©fini comme la nĂ©cessitĂ© pour l’entreprise d’autoriser les utilisateurs Ă  accĂ©der aux informations et aux donnĂ©es les concernant. Le droit Ă  l’oubli doit ĂŞtre respectĂ© : toutes les informations et donnĂ©es personnelles doivent ĂŞtre supprimĂ©es sur demande de la personne concernĂ©e. Citons Ă©galement le droit Ă  la portabilitĂ© des donnĂ©es : c’est la possibilitĂ© pour un utilisateur de rĂ©cupĂ©rer les donnĂ©es le concernant, par exemple pour les transmettre Ă  un nouveau prestataire ou fournisseur de services. 


Enfin, un principe important du RGPD est la responsabilitĂ© de l’entreprise. Ce principe vise Ă  renforcer l’auto-contrĂ´le et se traduit par diffĂ©rentes mesures, comme la responsabilitĂ© d’une entreprise vis-Ă -vis de ses partenaires, ce qui implique de mener un audit des sous-traitants. On pense aussi Ă  l’obligation de sĂ©curiser la donnĂ©e. Enfin, c’est Ă  l’entreprise de prouver que toutes les mesures de conformitĂ© au RGPD ont bien Ă©tĂ© prises et de pouvoir les prĂ©senter Ă  une autoritĂ© compĂ©tente comme la CNIL. 


La dĂ©finition du RGPD en fait un texte fondamental qui encadre le partage d’informations au sein de l’espace europĂ©en. Sa portĂ©e est très importante en ce qu’il englobe tous les secteurs d’activitĂ© et potentiellement toutes les entreprises ayant une activitĂ© en Europe. Dans ce contexte, mettre en place une politique RGPD devient primordial pour les entreprises. 

Partager l'article