RGPD : Tout savoir sur la protection des données personnelles pour mieux comprendre

L’acronyme RGPD ou GDPR (General Data Protection Regulation) désigne “Règlement général sur la protection des données”. C’est un règlement européen relatif à la protection des personnes physiques à l’égard du traitement de leurs données personnelles et la liberté de circulation de ces mêmes données, abrogeant ainsi la directive 95/46/CE (ancêtre du RGPD).  

Jusqu'alors, seule la loi Informatique et Libertés du 6 Janvier 1978 n°78-17 avait pour rôle de protéger les données personnelles des individus. Pour plus de précisions sur la présente loi, cliquez ici.

Le RGPD vient compléter et renforcer la loi Informatique et Libertés.

‍

a. Les institutions à l’origine du RGPD

Ce règlement n°2016/ 679 sur la protection des données personnelles a été adopté conjointement par le Parlement européen et le Conseil de l’Union Européenne le 27 avril 2016. Vous pouvez le consulter dans son intégralité par ici.

‍

b. Les raisons de la création du RGPD

Le règlement général sur la protection des données personnelles a été créé par le législateur européen suite à une forte croissance d’Internet afin de permettre à de grandes entreprises de palier de nombreux vides juridiques, définir de nouveaux usages et déterminer de quelle manière les données personnelles des usagers de leurs services doivent être collectées et traitées.

a. Qu’est-ce qu’une donnée personnelle ?

La notion de “donnée personnelle” désigne toute information se rapportant à une personne physique identifiée et ou identifiable. L'identification de la personne peut être directe, c’est-à-dire que la personne concernée va être identifiée par son prénom, ou indirectement, c’est-à-dire que la personne concernée sera identifiée grâce notamment à son numéro de téléphone ou son numéro client.

En définitive, l’identification d’une personne physique peut se faire à partir d’une seule donnée telle que son ADN ou son numéro de sécurité sociale ou encore à partir d’un ensemble de données la concernant telles que son sexe, son âge, son adresse ou encore son adhésion à une association.

Bon à savoir :

L'utilisation de données personnelles n’est pas récente. En effet, les données personnelles de toute personne physique sont utilisées depuis de nombreuses années par de multiples administrations et services publics mais également par des entreprises privées (fichiers clients).  

Toutefois, la récolte de données personnelles a atteint son apogée grâce à la numérisation de l’économie et les usages du quotidien des personnes physiques (données personnelles issues des navigateurs).

‍

b. La régulation de l’usage des données personnelles

Les données personnelles des usagers doivent être récoltées de façon loyale et à des fins déterminées et avec le consentement de la personne concernée.

Par conséquent, toute personne ayant consentie à l’usage de ses données personnelles par un service, a le droit d’accéder aux données collectées à son sujet et en demander la rectification.

Pour parvenir à la création du RGPD le législateur s’est appuyé sur l’article 8 de la Charte des droits fondamentaux de l’Union Européenne relative à la protection des données à caractère personnel.

Le RGPD a pour objectif de protéger les données personnelles des individus en encadrant les droits et devoirs des personnes qui récoltent et traitent ces données. Il a donc pour objectif de renforcer le droit des personnes et de responsabiliser les entreprises qui traitent les données personnelles des individus.

a. Les personnes tenues de respecter le RGPD

Le Règlement européen sur la protection des données personnelles doit être respecté par toute organisation publique ou privée (y compris les sous-traitants qui traitent des données personnelles pour leur compte ou pour le compte d’un tiers) dès lors qu’elle est établie sur le territoire européen ou qu’elle exerce une activité à travers laquelle elle collecte des données personnelles appartenant à des résidents européens, quel que soit son secteur d’activité ou sa taille.

‍

b.  Les obligations des entreprises soumises au RGPD

Pour être en conformité avec le RGPD les entreprises ont plusieurs obligations à respecter telles que :

• Garantir une sécurité maximale des données personnelles de chaque usager des services de l’entreprise ;
• L’entreprise doit obligatoirement demander en aval le consentement de la personne concernée avant utilisation de ses données personnelles ;
• L’entreprise utilisatrice des données personnelles doit être transparente dans son traitement des données. De ce fait, elle a un devoir de conseil et d’information à l’égard de ses usagers ;
• L’entreprise ne doit pas porter atteinte aux droits de ses usagers lorsqu’elle utilise leurs données personnelles ;  
• L’entreprise doit tenir un registre de traitement des données (la tenue de ce registre est obligatoire dans les entreprises de plus de 250 utilisateurs). Nous mettons à votre disposition un modèle personnalisable de registre RGPD à télécharger gratuitement ici ;
• L'entreprise doit nommer un délégué chargé de la protection des données (DPO) ;  
• L'entreprise doit effectuer des analyses sur l’impact préalable au traitement des données personnelles afin de gérer les risques éventuels susceptibles de survenir à l’occasion du traitement et ainsi éviter les fuites de données.

a. L’origine de la CNIL

En France, l’autorité chargée de vérifier que les organisations soumises au RGPD le respectent est la Commission Nationale de l’Informatique et des Libertés, plus connue sous l’acronyme “CNIL”. Cette autorité administrative indépendante (AAI) a été créée par la loi Informatique et Libertés du 6 janvier 1978 pour accompagner les professionnels à se mettre en conformité avec le règlement sur la protection des données personnelles, aider les particuliers à maîtriser leurs données personnelles et exercer leurs droits.

Il s’agit d’une autorité administrative indépendante composée de 18 membres élus ou nommés qui a pour rôle de veiller à la bonne application des règles du RGPD par chacune des organisations qui y est soumise.  

La CNIL alerte, conseille et informe tout acteur mais elle a également pour rôle de contrôler et sanctionner tout manquement au RGPD.

‍

b. Les missions de la CNIL

Pour jouer son rôle de gardienne des données personnelles, la CNIL exerce 4 missions principales : une mission d’information et de protection, de conseil et d’accompagnement, de contrôle et de sanction mais également une mission d’anticipation.

Dans le cadre de ses missions, la CNIL observe plusieurs éléments.

La CNIL doit notamment vérifier que le principe de transparence a bien été respecté par l’organisation soumise à son contrôle. Elle contrôle que l’information relative à l’usage des données personnelles récoltées soit complète en s’assurant que ces dernières soient facilement accessibles afin que leur propriétaire puisse les consulter, les modifier ou les supprimer et ce, en vertu du droit à l’oubli mentionné à l’article 17 de la section III du RGPD intitulé “Droit à l’effacement (“droit à l’oubli”)”.

La CNIL doit également veiller à la mutualisation des données personnelles : elle vérifie que l’organisation qui a récolté les données de l’usager n’a récolté que des informations qui lui sont utiles et qu’il s’agit uniquement de données personnelles préalablement consenties par l’usager du service de l’organisation.  

De plus, la CNIL doit également regarder la durée de conservation des données : toutes les données personnelles consenties par les usagers que les organisations ont récoltées ne doivent être conservées que pendant une période nécessaire à l’utilisation consentie.  

Enfin, la CNIL doit s’assurer de la sécurité et de confidentialité des données : les données personnelles des usagers doivent être stockées dans des emplacements sécurisés afin que leur confidentialité soit garantie aux usagers des services contrôlés.

En cas de non-conformité d’une entreprise au RGPD, celle-ci risque aussi bien une sanction pénale qu’administrative.

‍

a. Les sanctions administratives

Les sanctions dites administratives sont régies par l’article 83 du RGPD et se traduisent par le versement d’une amende.

Ces sanctions délivrées par la CNIL doivent être proportionnelles à la gravité du manquement commis par l’entreprise, tout en étant dissuasive.  

Ainsi, la CNIL est l’autorité compétente chargée déterminer la nature de la sanction que doit subir l’entreprise suite à son manquement au RGPD.  

Pour ce faire, la CNIL doit prendre en compte plusieurs éléments tels que :  

• La gravité de la violation au RGPD ;
• La durée de la violation ;  
• Vérifier que l’entreprise qui a commis un manquement a tout mis en œuvre pour atténuer le dommage causé aux personnes qui en sont victimes ;  
• Évaluer le degré de coopération de l’entreprise mise en cause.  

‍

Dans l’hypothèse où l’entreprise mise en cause écope d’une sanction administrative, le montant de l’amende varie en fonction de la violation constatée par la CNIL.  

Par exemple, en cas de violation des conditions prévues dans le recueil des consentements des enfants ou de violation du Privacy by design (article 25 du RGPD) qui impose à l'entreprise de mettre en œuvre une protection des données personnelles de ses usagers dès la conception ainsi qu’une protection par défaut pour l’ensemble des données personnelles qu’elle traite, l’entreprise mise en cause pourra être condamnée au paiement d’une amende allant jusqu’à 10 millions d’euros. Pour en savoir plus, consultez notre article sur le Privacy by design ou la protection de la vie privée dès la conception.

Autre exemple, en cas de violation des principes de traitement des données ou des conditions de licéité du traitement des données, l’entreprise mise en cause peut être condamnée à une amende allant jusqu’à 20 millions d’euros.

L’amende la plus élevée à laquelle la CNIL a condamné une société est de 50 millions d’euros. Cette sanction administrative a été infligée à Google suite à de multiples violations du RGPD.

‍

b. Les sanctions pénales

L’article 84 du RGPD prévoit la possibilité pour chaque Etat membre de l’Union Européenne d’établir des sanctions de nature pénale en cas de violation du RGPD.  

A titre d’exemple, la France a prévu au sein sa législation qu’en cas de violation dans l’utilisation des données personnelles d’un usager n’entrant pas dans le champ des sanctions administratives, le représentant légal de l'entreprise mise en cause pourra être condamné à une peine d’emprisonnement allant jusqu'à 5 ans et 300 000 euros d’amende et ce, en vertu de l’article 226-21 du Code pénal qui dispose que :  

“Le fait, par toute personne détentrice de données à caractère personnel à l'occasion de leur enregistrement, de leur classement, de leur transmission ou de toute autre forme de traitement, de détourner ces informations de leur finalité telle que définie par la disposition législative, l'acte réglementaire ou la décision de la Commission nationale de l'informatique et des libertés autorisant le traitement automatisé, ou par les déclarations préalables à la mise en œuvre de ce traitement, est puni de cinq ans d'emprisonnement et de 300 000 euros d'amende”.

Bon à savoir :

Les personnes victimes d’une violation de leurs données personnelles peuvent demander à l’entreprise à l’origine du dommage subi le versement de dommages-intérêts.  

Vous souhaitez approfondir le sujet ? 

Retrouvez notre article : RGPD définitions et principes.