Informations de base sur le RGPD
Le règlement général sur la protection des données (RGPD) est un règlement de l'UE qui renforce les exigences imposées aux entreprises en matière de traitement des données personnelles et donne aux consommateurs des droits accrus. Ce guide est une introduction aux éléments de base du RGPD.
Introduction au règlement général sur la protection des données (RGPD)
Le règlement de l'UE sur les données personnelles est entré en vigueur le 25 mai 2018 après une période de transition de deux ans. L'objectif du RGPD est d'harmoniser les lois sur les données dans tous les États membres de l'UE, afin de faciliter les activités des entreprises dans l'UE. Dans le même temps, la loi vise à protéger la vie privée des citoyens européens en leur donnant plus de droits et un meilleur contrôle sur leurs données personnelles. Tous les secteurs de l'entreprise - informatique, juridique, RH et direction - doivent donc être vigilants dans ce processus. Il s'agit donc de faire de la RGPD un processus d'équipe, car aucun service n'est gratuit. Tout le monde manipule une forme de données ou une autre.
Il reste à voir comment le règlement sera appliqué et combien de ressources les États membres de l'UE choisiront de consacrer au renforcement des autorités chargées de la protection des données personnelles. Déjà, la sensibilisation accrue des consommateurs aux questions de protection de la vie privée amène toutes les entreprises de traitement des données à repenser leurs pratiques.
La loi est complexe et d'une grande portée, comme le sont les règlements européens. Vous avez donc probablement tort si vous pensez que vous n'êtes pas couvert par les règles. Cela dit, il n'y a pas lieu de paniquer si vous dirigez une entreprise honnête. Le RGPD n'est pas conçu pour compliquer la vie des entreprises, mais pour réglementer l'utilisation et la vente sans entrave des données personnelles et obliger les entreprises à élaborer une politique en matière de données. Le fait que le règlement soit entré en vigueur ne signifie pas que la course est lancée. Pour être conforme au RGPD, il faut que vous examiniez et optimisiez vos pratiques en permanence, que vous soyez toujours ouvert à la recherche de nouvelles et meilleures solutions.
Si vous n'êtes pas sûr à 100% de votre conformité, la première étape importante pour se conformer au règlement est de prendre conscience de la nécessité d'agir. La seconde est d'agir réellement. La troisième consiste à documenter l'action. Il est donc extrêmement important de mettre en place un bon processus de conformité opérationnelle, dans lequel vous avez la possibilité de vérifier en permanence votre traitement des données, car si vous ne pouvez pas documenter votre action, elle n'existe pas - du moins pas aux yeux de l'autorité de protection des données.
Qu'est-ce que le RGPD ?
Si vous n'avez jamais entendu parler du RGPD, c'est très probablement parce que vous avez entendu parler du règlement sur les données personnelles ou du règlement sur la protection des données. Le titre officiel, cependant, est Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (Règlement général sur la protection des données).
Le règlement a été adopté en 2016 et remplace une directive sur la protection des données de 1995 et la loi sur les données personnelles de 2000. La directive était un ensemble de lignes directrices devant être adoptées par les parlements respectifs. Les règles sont désormais unifiées, mais il existe encore de nombreuses similitudes entre le RGPD et la directive initiale.
Et qu'est-ce qu'un règlement ? Un règlement signifie que les règles sont directes et uniformes dans tous les pays et que les 99 articles du RGPD doivent être respectés sans exception. Toutefois, il est possible d'établir des règles spécifiques supplémentaires.
La directive originale contenait un grand nombre d'éléments identiques à ceux du RGPD, mais les nouvelles règles et exigences en matière de documentation représentent une extension significative des droits des individus. Avec le nouveau règlement, la politique européenne de protection des données passe du statut d'objectif à celui de loi juridiquement contraignante dans tous les pays de l'UE, sans que les États membres aient à adopter la loi dans leurs parlements respectifs.
Quel est l'objectif du RGPD ?
L'UE présente deux objectifs principaux pour le règlement :
- protéger la vie privée des citoyens de l'UE en leur donnant plus de contrôle sur leurs données personnelles. Ce faisant, l'UE vise à renforcer la confiance des consommateurs dans l'économie numérique.
- Harmoniser les législations des pays de l'UE en matière de protection des données, afin de rendre plus simple et plus transparent le fonctionnement des entreprises dans l'UE. Ils estiment que les entreprises pourraient ainsi économiser jusqu'à 2,3 milliards d'euros par an.
Qu'est-ce qu'une donnée personnelle ?
Les données personnelles sont définies comme suit : "toute information relative à une personne physique identifiée ou identifiable". Cela signifie que les données à caractère personnel sont toutes les informations qui permettent de remonter à un individu ou de l'identifier. Cette liste est inépuisable, puisqu'il peut s'agir d'un nom, d'un numéro de sécurité sociale, d'une adresse IP, de photographies ou de caractéristiques physiologiques.
Toutefois, il convient de souligner que le même type de données ne sera pas toujours considéré comme des données à caractère personnel pour différentes personnes. En d'autres termes, définir une personne en fonction de son sexe peut permettre de l'identifier si vous êtes, par exemple, le seul homme de l'assemblée, tandis que "Homme, Paris" ne permet guère de trouver facilement une personne particulière dans la capitale française.
L'article 9 du règlement énumère un certain nombre de catégories particulières de données à caractère personnel qui sont sensibles. La liste des données sensibles est exhaustive, et il est bon d'inclure si possible le traitement des données de cette vente, car il nécessite une base juridique spécifique et des exigences de sécurité plus strictes. En tout état de cause, le traitement de ces données nécessite un consentement sans équivoque.
C'est ce que dit le règlement :
"Le traitement des données à caractère personnel qui révèlent l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, ou l'appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d'identifier une personne physique de manière unique, des données concernant la santé ou des données concernant l'orientation sexuelle ou la vie sexuelle d'une personne physique sont interdits."
C'est le cas si vous enregistrez les affiliations syndicales de vos employés ou si, par exemple, vous disposez d'une base de données clients qui contient des informations sur les personnes qui ne consomment pas certains aliments pour des raisons religieuses.
Le champ d'application du RGPD
À qui s'applique le RGPD ? Elle s'applique à toutes les entreprises qui détiennent ou traitent des données personnelles de citoyens européens, que l'entreprise soit située ou non dans l'UE. Toutefois, cela ne signifie pas que le RGPD s'applique à tout le monde. Il convient de garder à l'esprit que le RGPD comporte un principe de proportionnalité, de sorte que la taille et les ressources de l'entreprise détermineront ce que l'on peut attendre d'elle pour se conformer aux nouvelles exigences.
Bien que les exigences soient renforcées pour les entreprises de plus de 250 salariés, nous recommandons à toutes les entreprises de se conformer aux exigences du règlement. Le RGPD établit une distinction supplémentaire entre les processeurs de données et les contrôleurs de données.
Pénalités et le RGPD
Le cadre de sanctions du règlement a fait l'objet d'une grande attention. En effet, l'UE menace d'infliger des amendes pouvant aller jusqu'à 4 % du chiffre d'affaires annuel de l'année précédente ou 20 millions d'euros, le montant le plus élevé étant retenu. Il convient de garder à l'esprit que cela ne s'applique qu'aux crimes les plus graves et qu'il s'agit de la peine maximale.
Il est probable qu'elle ne s'appliquera qu'aux entreprises dont l'activité principale est le traitement des données, et non au pizzaiolo local dont les contrats de travail sont en lambeaux. Mais cela ne signifie pas que les petites entreprises peuvent s'asseoir et se détendre. Les infractions mineures peuvent toujours être sanctionnées par des amendes pouvant atteindre 2 % du chiffre d'affaires annuel de l'année précédente ou 10 millions d'euros (le montant le plus élevé étant retenu).
Ça a l'air effrayant, et c'est sérieux. Il faut toutefois garder à l'esprit qu'il s'agit de la peine maximale et que nous ne savons pas encore quelle sera la position des tribunaux. Nous ne savons pas non plus combien de ressources l'autorité de protection des données consacrera à la vérification et à la poursuite des entreprises - qu'elles soient de mauvaise foi ou non.
Que devez-vous faire ? Tout d'abord, vous devez dresser une liste des données que vous traitez, de quels types elles sont et quelle est la finalité du traitement ?
Vous pouvez télécharger le livre électronique gratuit Le RGPD pour les débutants pour obtenir une compréhension un peu plus approfondie du RGPD et de vos obligations en vertu de ce texte.
À qui s'applique le RGPD ?
Le RGPD s'applique à toutes les entreprises qui traitent ou stockent des données personnelles de personnes résidant dans l'UE. Cela s'applique indépendamment de la localisation de l'entreprise. Le RGPD a donc ce que l'UE, en langage juridique classique, appelle une application extraterritoriale. En termes simples, cela signifie que le règlement s'applique également aux entreprises américaines, africaines et asiatiques qui traitent les données personnelles des citoyens européens. Dans ce cas, il n'est pas utile que votre société soit située au Panama.
La taille de l'entreprise est également importante, car les entreprises de plus de 250 employés doivent se conformer à des exigences plus élevées que celles ci-dessous. En même temps, il est crucial de savoir si une entreprise a pour activité principale le traitement systématique et à grande échelle des données. En effet, cela entraînera un certain nombre d'exigences accrues.
D'une manière générale, il convient de garder à l'esprit que le règlement fonctionne selon un principe de proportionnalité, en tenant compte de la taille et des ressources de l'entreprise lors de l'évaluation des exigences et d'une éventuelle sanction. En général, cependant, nous recommandons que toutes les entreprises, quelle que soit leur taille, se conforment aux exigences du règlement.
Processeurs et contrôleurs de données
Le RGPD fait la distinction entre les responsables du traitement des données et les responsables du traitement des données. Le responsable du traitement est celui qui collecte les données et détermine leur finalité. Il peut s'agir, par exemple, d'une entreprise qui collecte des données personnelles sur ses employés afin de leur verser un salaire. Les sous-traitants sont ceux qui stockent, utilisent ou analysent les données pour le compte du responsable du traitement. Il peut s'agir, par exemple, d'un système qui stocke les noms, initiales et adresses électroniques de tous les utilisateurs de nos solutions.
Lors de la communication de données à un tiers, la personne concernée (la personne physique à laquelle se rapportent les données) doit être informée. Dans certains cas, l'autorisation doit être obtenue auprès de la personne concernée. Si un tiers définit lui-même la manière dont les données seront utilisées, il sera également le responsable du traitement des données.
Principes de bon traitement des données
Le traitement des données à caractère personnel doit être licite, équitable et transparent. Cela signifie que l'objectif doit être légitime et clairement énoncé. La pertinence des données personnelles est également une bonne pratique de traitement des données. Vous ne devez traiter que ce qui est nécessaire et aussi longtemps que cela est nécessaire. En outre, toutes les données doivent être exactes et mises à jour.