RGPD pour les nuls en 2024 : définition, rôle, principes

Lorsqu'il s'agit de RGPD, vous vous sentez perdu ? Ne vous inquiétez pas, cet article est là pour éclairer votre lanterne ! Qu'est-ce que le RGPD signifie exactement pour vous en tant que citoyen ou pour votre entreprise ? Nous allons tout décomposer pour vous.

Aujourd’hui, la question des données personnelles et de leur respect est primordiale, bien que peu d’entre nous le réalisons. Nos données personnelles sont une véritable mine d’or pour de nombreuses entreprises, afin de mieux nous segmenter et nous cibler mais aussi pour dégager des tendances comportementales et mieux nous atteindre dans notre intimité.

Alors, concrètement que change le RGPD à votre vie ? On peut se poser la question.

Et bien, le RGPD vient bouleverser la donne en instaurant des règles claires et en mettant l'accent sur le consentement et la transparence.

On fait le point avec cet article RGPD pour les nuls.

Qu'est-ce que le RGPD ?

Le Règlement Général sur la Protection des Données, plus connu sous l'acronyme RGPD, représente le cadre légal instauré par l'Union Européenne pour garantir la protection des données personnelles de ses citoyens. Englobant une multitude d'organisations, tant publiques que privées, le RGPD s'applique dès lors qu'une entité basée sur le sol européen ou ciblant des résidents européens traite des données personnelles, indépendamment de la finalité de ce traitement. 

Formellement désigné comme le règlement UE 2016/679 daté du 27 avril 2016, le RGPD se distingue en tant que règlement et non directive. Cela signifie qu'il s'applique de manière directe et uniforme à travers l'ensemble de l'Europe, sans nécessiter une transposition dans les législations nationales des États membres. Depuis son entrée en vigueur en 2018, il constitue le pilier législatif de la protection des données au sein de l'UE.

 À la base de ce règlement, résident quelques concepts clés essentiels à comprendre. En substance, le RGPD encadre le traitement des données personnelles des résidents européens. Ainsi, il est crucial de décortiquer les termes centraux de cette définition. Le "traitement des données" couvre une gamme étendue d'opérations relatives aux données personnelles, englobant la collecte, l'organisation, et l'exploitation de ces données.

Se conformer au RGPD n'est pas une option mais une obligation légale pour toutes les entreprises.

Lors d'audits par la CNIL, divers documents attestant la conformité RGPD de votre entreprise peuvent être requis, incluant l'Analyse d'Impact relative à la Protection des Données (AIPD), le registre des traitements, ou encore les contrats de sous-traitance. Se pencher sur ces éléments fondamentaux du RGPD est le premier pas vers une conformité assurée et une meilleure compréhension des responsabilités en matière de protection des données.

Si nous devions retenir qu'une seule définition du RGPD, ce serait celle-ci :  

Le RGPD (Règlement Général sur la Protection des Données) est un cadre légal de l'UE établi en 2018 pour protéger les données personnelles des citoyens. Il encadre la collecte, le traitement et le stockage des données, exige le consentement des individus, et impose des sanctions en cas de non-conformité.

Nous allons voir toutes ces notions en détails dans cet article !

Qu'est ce qu'une donnée personnelle ?

Commençons par définir une données personnelle.

Une donnée personnelle se définit comme « toute information se rapportant à une personne physique identifiée ou identifiable ».

On peut identifier une personne :

• directement (exemple : nom, prénom)

• ou indirectement (exemple : par un numéro client, un numéro de téléphone, la voix, une photo, des éléments liés à votre aspect physique etc…)

Il y a deux manières d’identification principalement :

• en partant d’une donnée seulement (exemple : numéro de sécurité sociale, ADN)

• en partant d’un croisement de plusieurs données (exemple : un homme qui a tel caractéristique physique, qui habite à telle adresse etc..).

Tous ces attributs constituent une donnée personnelle – donc oui, les yeux verts est une donnée personnelle car elle peut vous identifier si elle est mise bout à bout avec d’autres données.

Certaines de ces données peuvent recevoir un degré de protection particulière : c’est le cas des données sensibles qui portent sur des informations protégées par le RGPD, comme la santé, les préférences sexuelles, les croyances religieuses… Ces données constituent l'identité de chacun et représentent une valeur inestimable pour toutes celles qui sont dérobées, il est donc obligatoire de bien les protéger.

Pourquoi le RGPD est-il essentiel ?

Le principal objectif du RGPD est de réglementer l'utilisation des données personnelles par les entreprises pour garantir la protection et le respect de la vie privée.

Ce règlement impose des règles strictes, avec des sanctions pour les contrevenants. Les organismes doivent notamment obtenir le consentement explicite des individus avant de traiter leurs données.

Par exemple : Vous achetez en cadeau pour votre meilleur ami – une paire de chaussures de randonnées en ligne. L’entreprise revend vos données et vous voilà recevant des centaines de mails pour acheter une gourde, un voyage en Himalaya, on vous appelle pour vous parler d’intégrer des groupes de marcheurs… Voilà, le RGPD interdit cela ou du moins pose des règles qui limitent ces comportements.

Qui est concerné par le RGPD ?

Les données personnelles ne peuvent porter que sur des personnes physiques. Recueillir des informations sur une personne morale, comme une entreprise par exemple, ne fait pas entrer le traitement dans le champ d’application du RGPD.

Enfin, la terminologie de la réglementation insiste sur le fait que le RGPD porte sur les opérations de traitement sur les données personnelles de résidents européens. C’est donc bien le lieu de résidence de la personne concernée et non de l’entreprise qui compte. Les entreprises non-européennes qui agissent en Europe doivent donc respecter le RGPD. De même, si un transfert de données a lieu vers un pays non-européen avant traitement, par exemple, le RGPD continue de s’appliquer.

Principaux piliers du RGPD : Quels sont-ils ?

Le RGPD établit plusieurs principes essentiels qui façonnent les normes de protection des données en Europe.

Le consentement

Premièrement, le RGPD amplifie le concept de consentement par rapport aux précédentes régulations. La gestion des consentements est devenue cruciale pour les DPO et les gestionnaires RGPD dans les organisations. Ce consentement doit être manifeste et actif, illustré par une action directe de l'utilisateur, telle qu'un clic sur un bouton d'approbation. 

La transparence est intrinsèquement liée au consentement et représente le second pilier du RGPD. Pour que le consentement soit valide, il doit être bien informé, nécessitant ainsi que les organisations fournissent des informations explicites sur les types de données collectées et les intentions derrière cette collecte. C'est dans cette optique que l'approche "Privacy by Design" est recommandée lors de la gestion des données personnelles, assurant ainsi une conformité au RGPD dès le début de tout projet.

Les droits

Le droit des personnes est renforcé par le RGPD. Concrètement, il s’agit d’un ensemble de droits que les entreprises doivent garantir. On peut citer le droit d’accès, qui est défini comme la nécessité pour l’entreprise d’autoriser les utilisateurs à accéder aux informations et aux données les concernant. Le droit à l’oubli doit être respecté : toutes les informations et données personnelles doivent être supprimées sur demande de la personne concernée. Citons également le droit à la portabilité des données : c’est la possibilité pour un utilisateur de récupérer les données le concernant, par exemple pour les transmettre à un nouveau prestataire ou fournisseur de services.

Quelles sont règles à respecter pour les entreprises ?

Même si nous parlons du RGPD de manière simplifiée, il est essentiel de comprendre ses principaux fondements pour assurer une protection optimale des données.

Pour vérifier que les données personnelles recueillies soient traitées selon les règles, les entreprises, comme les PME, les ETI ou encore les grands groupes, doivent mettre en place des mesures permettant d’assurer le respect des grands principes de la protection des données.

À noter que certaines entreprises ont réussi à contourner le RGPD. Nous expliquons dans cet article, comment Lusha a réussi à passer entre les mailles du filet de la CNIL.

Principes de base du traitement des données

Licéité du traitement

Le traitement des données doit avoir un fondement licite, loyal et transparent. C’est le principe de licéité du traitement. Les raisons peuvent être multiples :

• Est-ce que l’organisme traite les données parce qu’il y a une obligation légale de le faire (ex : les finances publiques qui traitent vos données pour déterminer vos impots) ?

• Parce qu’il le doit selon un contrat lié avec la personne concernée (ex : la banque qui vous octroie un crédit) ?

• Parce qu’il a obtenu le consentement de la personne pour le faire (ex : pour participer à un jeu concours) ?

Au total, le RGPD propose six bases légales pour le traitement.

Finalité du traitement

Le traitement peut exister légalement mais encore faut-il qu’il ait un objectif précis et déterminé. C’est le principe de finalité.

Les données collectées doivent avoir un but spécifique. Par exemple, si vous fournissez votre email pour obtenir un ebook, l'entreprise doit l'utiliser uniquement pour vous envoyer cet ebook.

Minimisation des données

Seules les informations pertinentes pour l'objectif visé doivent être collectées. Si le but est d'envoyer un ebook par email, il n'y a pas besoin de connaître votre date de naissance.

Limitation de la conservation

Les données ne doivent être conservées que le temps nécessaire pour réaliser l'objectif. Après cela, elles doivent être effacées ou anonymisées. Les organismes doivent donc définir des durées de conservation pour les traitements qu’ils mettent en place.

Intégrité et confidentialité

Les entreprises doivent garantir la sécurité des données pour éviter tout accès ou traitement non autorisé.

Exactitude :

Les données stockées doivent être à jour et exactes. Tout effort doit être fait pour rectifier ou supprimer des données inexactes.

Preuves de conformité

Pour garantir l'adhésion à ces principes, le RGPD demande aux entreprises de maintenir des documents attestant de leur conformité, comme le registre des traitements et diverses procédures liées à la gestion des données personnelles.

D’autres principes viennent compléter cette liste : le principe de sécurité qui vise à assurer l’intégrité et la confidentialité des données ; le principe d’exactitude des données qui vise à assurer que les données traitées soient bien à jour.

Pour prouver tout cela le RGPD impose aux organismes des documents prouvant leur bonne conformité : le fameux registre des traitements, des procédures de gestion des données personnelles diverses et variées.

Quel est l’objectif de ces documents ?

Justifier que les traitements respectent bien les grands principes tout au long de son existence. Les entreprises doivent être en mesure de répondre aux questions suivantes : Comment sont collectées les données ? Comment sont-elles enregistrées ? Qui y a accès ? Combien de temps sont-elles conservées ? Peut-on communiquer ces données ?

Donc mes données personnelles sont bien protégées ?

Le RGPD vient encadrer de manière légale une obligation qui est morale, celle de protéger et de respecter les données personnelles.

Malheureusement, aujourd’hui, de nombreuses entreprises ne respectent pas le RGPD mais le sujet devient de plus en plus brûlant. Tout comme les utilisateurs vont regarder davantage l’éthique en matière d’environnement des entreprises auprès desquelles ils choisissent de passer commande, ils regardent de plus en plus l’éthique en matière de respect des données personnelles.

En France, l’organisme qui contrôle le respect du RGPD c’est la CNIL (Commission Nationale de l’Informatique et des Libertés) et en cas de non-respect avéré, l’amende peut être salée – Jusqu’à 4% du chiffre d’affaires ! Un risque que peu d’entreprises peuvent se permettre de prendre.

Comment assurer la conformité au RGPD ?

L'une des pierres angulaires du RGPD est la responsabilisation des entreprises. Ce principe encourage la surveillance proactive, ce qui se traduit par diverses initiatives, telles que la nécessité pour une entreprise de contrôler ses partenaires, nécessitant souvent des audits. Il y a aussi une obligation d'assurer la sécurité des données. De plus, la responsabilité incombe à l'entreprise de démontrer sa conformité au RGPD et de la présenter à un organisme de réglementation comme la CNIL.

Le RGPD est une régulation majeure qui dicte la manière dont les informations sont partagées à travers l'Europe. Son influence est vaste, couvrant tous les domaines et concernant pratiquement toutes les entreprises opérant en Europe. Dans ce cadre, l'adoption d'une stratégie RGPD appropriée, ainsi que le choix judicieux d'un logiciel RGPD, comme Witik, sont essentiels pour les organisations.