Le règlement européen n° 2016/679, dit règlement général sur la protection des données (RGPD, ou encore GDPR, de l'anglais General Data Protection Regulation), est un règlement de l'Union européenne qui constitue le texte de référence en matière de protection des données à caractère personnel. Il renforce et unifie la protection des données pour les individus au sein de l'Union européenne.
Ce règlement a été adopté par le Parlement européen le 14 avril 2016.
Ses dispositions sont directement applicables dans l'ensemble des 28 États membres de l'Union européenne depuis du 25 mai 2018.
Les principaux objectifs du RGPD sont d'accroître à la fois la protection des personnes et la responsabilisation des acteurs dans le cadre d'un traitement des données.
Le règlement européen a été publié le 4 mai 2016 dans le Journal officiel de l'Union européenne et entre en vigueur le vingtième jour suivant celui de sa
La notion de consentement « explicite » et « positif » y est prépondérante.
Les entreprises et organismes doivent donner aux citoyens davantage de contrôle sur leurs données privées, notamment via l'acceptation des cookies sur les sites internet et sur le contrôle de l'utilisation qui est faite des données que les internautes envoient dans les formulaires de contact.
Par exemple, il n'est plus possible que la case "j'accepte de recevoir la newsletter" soit pré-cochée lors de l'envoi d'un formulaire de contact dans lequel l'e-mail est renseigné.
Le droit à l’oubli : La personne concernée a le droit d'obtenir du responsable du traitement l'effacement, dans les meilleurs délais, de données à caractère personnel la concernant et le responsable du traitement a l'obligation d'effacer ces données à caractère personnel dans les meilleurs délais pour 6 motifs.12
Le droit à la portabilité des données personnelles (article 20) Les personnes concernées ont le droit de recevoir les données à caractère personnel les concernant qu'elles ont fournies à un responsable du traitement, dans un format structuré, couramment utilisé et lisible par machine, et ont le droit de transmettre ces données à un autre responsable du traitement. Lorsque la personne concernée exerce son droit à la portabilité des données en application du paragraphe 1, elle a le droit d'obtenir que les données à caractère personnel soient transmises directement d'un responsable du traitement à un autre, lorsque cela est techniquement possible.
Le profilage (article 22) Toute personne a le droit de ne pas faire l'objet d'une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques la concernant ou l'affectant de manière significative de façon similaire.
Les principes de « protection des données dès la conception » et de « sécurité par défaut » (article 25) Le règlement européen définit le principe de « protection des données dès la conception » (en anglais : Privacy by design) qui impose aux organisations de prendre en compte des exigences relatives à la protection des données personnelles dès la conception des produits, services et systèmes exploitant des données à caractère personnel13. De plus, le règlement consacre la nouvelle règle de la « sécurité par défaut » qui impose à toute organisation de disposer d’un système d’information sécurisé13.
Six étapes pour s'adapter au RGPD selon la CNIL
Etape 1 : Nommer un délégué à la protection des données Disposer d'un pilote est indispensable pour gérer les données personnelles collectées par une entreprise. Celui-ci est chargé d'un rôle d'information, de conseil et de contrôle interne.
Etape 2 : Recenser les traitements des données Un registre des traitements des données personnelles est une documentation qui permet de faire le bilan sur l'effet du règlement.
Etape 3 : Définir les actions correctives Afin de respecter les règles en matière de droits et libertés personnels, il est nécessaire de déterminer quelles sont les actions prioritaires à mettre en œuvre. La priorisation est déterminée en fonction du niveau de risque et grâce au registre des traitements.
Etape 4 : Analyser les risques Il convient de gérer au mieux les risques pouvant avoir des conséquences sur la sécurité des données.
Etape 5 : Établir des procédures internes Les procédures internes permettent de constamment assurer la protection des données personnelles. Il faut ici anticiper les événements éventuels pouvant impacter les traitements en cours.
Etape 6 : Tenir une documentation La documentation permet de justifier la conformité d'une entreprise au règlement. Il est également essentiel de fréquemment reconsidérer et ajuster les actions et documents afin de garantir une protection des données durable.
Sanctions
En cas de non-respect du RGPD, plusieurs sanctions peuvent être appliquées aux entreprises. L'article 5826 du RGPD, donne à la CNIL le pouvoir de mettre en place des moyens dissuasifs afin de lutter contre les défauts de conformités se référant aux dispositions du RGPD.
