• Pourquoi ?

En vertu de l’article 8 paragraphe 1 de la Charte des droits fondamentaux de l’Union Européenne et de l’article 16 paragraphe 1 du Traité sur le fonctionnement européen, tous deux rappelés en préambule du RGPD, la protection des personnes physiques à l’égard du traitement des données à caractère personnel est un droit fondamental.

A l’ère du digital, des réseaux sociaux et du « big data », l’Union Européenne a souhaité encadrer l’utilisation des données à caractère personnel afin de protéger la liberté et les droits fondamentaux des personnes physiques quels que soient leur nationalité ou leur lieu de résidence.

  • Qui est concerné ?

Les acteurs de la vie économique (entreprises privées, collectivités publiques, associations etc.) effectuant de la collecte et/ou du traitement de données sont tenus de se conformer au RGPD entré en application le 25 mai 2018. Le règlement s’applique à tous les organismes établis sur le territoire de l’Union Européenne, mais aussi tout organisme implanté hors de l’UE mais dont l’activité cible directement des résidents européens. A noter que le RGPD concerne également les sous-traitants, c’est-à-dire toute structure qui traiterait ou collecterait des données pour le compte d’une autre entité.

  • Qu’est-ce qui relève des données personnelles ?

Une donnée personnelle est décrite par la CNIL comme « toute information se rapportant à une personne physique identifiée ou indentifiable ». Il existe ainsi 2 types d’identification. L’identification directe (nom, prénom, etc.) et l’identification indirecte (identifiant, numéro, etc.).

Lorsqu’une opération ou un ensemble d’opérations portant sur des données personnelles sont effectués, on considère qu’il s’agit de traitement de données. La CNIL donne les actions suivantes à titre d’exemple du traitement des données : la tenue d’un fichier de ses clients, la collecte de coordonnées de prospects via un questionnaire ou encore la mise à jour d’un fichier de fournisseurs.

A noter qu’un traitement de données personnelles n’est pas nécessairement informatisé. Les fichiers papier sont également concernés et doivent être protégés dans les mêmes conditions.

  • Qu’est-ce qu’implique le RGPD ?

Les entités collectant ou traitant des données doivent s’assurer que les données collectées servent bien l’objectif prévu c’est-à-dire qu’elles ne peuvent pas collecter ou traiter des données personnelles simplement au cas où cela leur serait utile un jour. Ainsi, à chaque traitement de données doit être assigné un but, qui doit être à la fois légal et légitime au regard de l’activité professionnelle exercée.

Elles doivent également veiller à ce que les données qu’elles collectent soient protégées et non divulguées à des tiers.

  • Quelles sanctions ?

En cas de violation du RGPD, les sanctions peuvent être très lourdes et s’élever jusqu’à 20.000.000 d’euros ou, dans le cas d’une entreprise, à 4% de son chiffre d’affaire mondial total de l’exercice précédent (le montant le plus élevé étant retenu). Le montant des amendes est variable en fonction de la nature, de la gravité et de la durée de la violation et compte tenu de la portée ou de la finalité du traitement concerné, ainsi que du nombre de personnes affectées et le niveau de dommages qu’elles ont subi. Le degré de responsabilité du responsable de traitement ou du sous-traitant est également pris en compte ainsi que les différentes mesures techniques et organisationnelle déjà mises en place pour assurer la conformité de la société.