Le Règlement général sur la protection des données, ou RGPD, est une loi de l’Union européenne (UE) qui régit la façon dont les organisations au sein et en dehors de l’UE gèrent les données personnelles des résidents de l’UE. Le RGPD a été adopté par le Parlement européen et le Conseil de l’UE en 2016 et a été mis en application le 25 mai 2018.
Plus précisément, le RGPD
Le RGPD définit les données personnelles comme toute information relative à un être humain identifiable, y compris les identifiants directs et indirects. Les identifiants directs sont des points de données uniques, comme le nom ou un numéro de carte de crédit. Les identifiants indirects incluent des caractéristiques non uniques pouvant être identifiables, telles que des particularités physiques et la date de naissance.
Dans le cadre du RGPD, un sujet de données est la personne concernée par ladite donnée. Par exemple, si une entreprise collecte des adresses e-mail, les propriétaires de ces adresses sont les personnes concernées.
Bien que le RGPD soit une loi européenne, il a une portée mondiale. Elle s’applique à toute organisation qui collecte ou utilise les données personnelles des résidents de l’UE.
Les règles et principes de traitement des données du RGPD s’appliquent à tous les responsables du traitement des données et sous-traitants actifs dans l’EEE, ce qui comprend les 27 Etats membres de l’UE, ainsi que l’Islande, le Liechtenstein et la Norvège.
Un responsable du traitement des données (ou contrôleur) est toute organisation, autorité publique ou autre groupe ou personne qui collecte des données personnelles et détermine la façon dont elles sont utilisées. Par exemple, un réseau social qui conserve des bases de données sur ses utilisateurs est un responsable du traitement des données.
Un sous-traitant de données (ou processeur) est toute organisation qui agit sur les données personnelles d’une manière ou d’une autre, par exemple en les analysant, en les stockant ou en les modifiant. Une entreprise peut être à la fois responsable et sous-traitant du traitement des données. Les sous-traitants peuvent également être des organisations tierces qui traitent des données pour le compte d’un responsable du traitement des données, comme un fournisseur de services cloud qui offre des services de stockage et d’analyse de données.
Tous les contrôleurs et processeurs basés dans l’EEE sont liés par le RGPD, même s’ils stockent et traitent des données en dehors de l’EEE.
Une entreprise basée en dehors de l’EEE est liée par le RGPD si l’une des conditions suivantes s’applique :
Les seules activités de traitement des données exemptées du RGPD sont les activités de sécurité nationale ou d’application de la loi et les utilisations exclusivement personnelles des données.
Le RGPD établit plusieurs principes que les responsables du traitement et les sous-traitants doivent respecter lorsqu’ils traitent des données à caractère personnel. En termes généraux, ces principes stipulent que toutes les activités de traitement doivent être clairement définies, transparentes et équitables.
En vertu du principe de limitation de la finalité, les entreprises doivent avoir à l’esprit un objectif spécifique et légal pour toutes les données qu’elles collectent. Elles doivent informer les utilisateurs de cet objectif et collecter uniquement la quantité minimale de données requise à cette fin.
Les entreprises doivent utiliser les données de manière équitable. Elles doivent tenir les utilisateurs informés du traitement des données à caractère personnel et respecter les règles de protection des données. En vertu du principe de limitation du stockage, une entreprise ne doit conserver les données à caractère personnel que jusqu’à ce que son objectif soit atteint. Les données doivent être supprimées dès qu’elles ne sont plus nécessaires.
Le RGPD définit les bases juridiques sur lesquelles les entreprises peuvent s’appuyer pour traiter les données à caractère personnel. Au moins une de ces conditions doit être remplie. A défaut, leur traitement est réputé illégal.
La personne concernée accepte le traitement de ses données. Les entreprises peuvent traiter les données d’une personne si elle donne son consentement. Le consentement n’est valide que s’il est éclairé, affirmatif et donné librement.
Pour que le consentement soit éclairé, l’entreprise doit clairement expliquer ce qu’elle collecte et comment elle utilisera ces données. Pour que le consentement soit affirmatif, l'utilisateur doit entreprendre une action intentionnelle pour montrer son consentement, par exemple en signant une déclaration ou en cochant une case. Le consentement ne peut pas être l’option par défaut, donc des éléments comme les cases pré-cochées vont à l'encontre du RGPD. Pour que le consentement soit donné librement, l’entreprise ne peut influencer ou contraindre le sujet de quelque manière que ce soit. L’entreprise ne peut exiger le consentement pour utiliser un service, sauf si le traitement est nécessaire au fonctionnement du service. Par exemple, une entreprise peut avoir besoin du numéro de carte de crédit d’une personne pour lui vendre quelque chose, mais elle n’a probablement pas besoin de son adresse IP.
L’entreprise ne peut pas regrouper les consentements si les données sont traitées à plusieurs fins. La personne concernée doit pouvoir accepter ou rejeter chaque activité de traitement individuellement. Les organisations doivent conserver des registres de consentement. Les utilisateurs peuvent retirer leur consentement à tout moment. Dans ce cas, le traitement doit prendre fin.
Les données doivent être traitées pour l’exécution d’un contrat avec la personne concernée ou pour le compte de la personne concernée. Par exemple, si une personne demande un prêt, la banque peut avoir besoin de traiter ses données financières et ses antécédents professionnels.
Le responsable du traitement a l’obligation légale de traiter les données. Par exemple, certaines réglementations sanitaires obligent les hôpitaux à conserver les données des patients dans leurs dossiers.
Les données doivent être traitées pour protéger les intérêts vitaux du sujet ou d’une autre personne. Cela fait référence aux situations dans lesquelles les données doivent être traitées pour sauver la vie d’une personne ou la protéger.
Les données doivent être traitées pour l’exécution d’une mission d’intérêt public ou relevant de l’autorité officielle du responsable du traitement. Le journalisme est un exemple classique de motif d’intérêt public pour le traitement des données personnelles. Les agences gouvernementales peuvent traiter des données personnelles dans le cadre de l’exercice de leurs activités officielles.
Les données doivent être traitées pour poursuivre un intérêt légitime du responsable du traitement ou d’un tiers. Un intérêt légitime est un avantage qu’une entreprise pourrait obtenir grâce au traitement des données. Par exemple, effectuer des vérifications des antécédents des employés ou suivre les adresses IP sur un réseau d’entreprise à des fins de cybersécurité. Le traitement doit être nécessaire pour être considéré comme un intérêt légitime. Une entreprise ne peut pas revendiquer un intérêt légitime si elle peut accomplir la tâche sans les données en question. Les personnes concernées doivent également raisonnablement s'attendre au traitement de leurs données. Si des personnes concernées sont surprises que leurs données soient utilisées d’une certaine manière, l’entreprise n’a probablement pas de motif d’intérêt légitime. Les droits des personnes concernées l'emportent généralement sur les intérêts légitimes d'une entreprise.
Les organisations doivent établir et documenter leurs bases avant de collecter des données. Elles doivent communiquer ces bases aux utilisateurs. Les entreprises ne peuvent pas modifier leurs bases a posteriori sans le consentement de la personne concernée.
Le RGPD considère certains types de données particulièrement sensibles. Ces catégories spéciales comprennent des informations sur la race ou l’origine ethnique d’une personne, ses convictions religieuses, ses opinions politiques et des données biométriques, entre autres.
Les entreprises ne peuvent traiter des données de catégories spéciales que dans des circonstances très spécifiques. Cela intervient, sans toutefois s'y limiter, si :
La personne concernée a donné son consentement explicite.
Le traitement est nécessaire pour une étude scientifique ou historique.
Les données relatives aux condamnations pénales ne peuvent être contrôlées que par les autorités officielles et traitées sous leurs instructions.
En plus de suivre les principes de traitement et d’établir une base juridique pour toutes les activités de traitement, les organisations doivent suivre quelques autres règles pour être conformes au RGPD.
Si une entreprise souhaite traiter des données d’une manière qui présente un risque significatif pour les personnes concernées, elle doit d’abord réaliser une évaluation de l’impact de la protection des données. Les situations susceptibles de déclencher une évaluation peuvent inclure tout traitement automatisé ou tout traitement à grande échelle de données sensibles.
L’évaluation doit décrire le traitement, expliquer pourquoi il est nécessaire, évaluer les risques et examiner les moyens de les atténuer. Si l’évaluation montre l’existence d’un risque significatif non atténué, l’entreprise doit consulter l’autorité de protection des données compétente avant de poursuivre.
En vertu du RGPD, certaines entreprises doivent désigner des responsables de la protection des données (DPO). Le DPO est un dirigeant indépendant chargé du respect des règles de conformité du RGPD. Les entreprises ne peuvent pas exercer de représailles contre un DPO dans l’exercice de ses fonctions.
Les responsabilités du DPO consistent notamment à conseiller les organisations sur le RGPD et d’autres lois sur la protection des données, à superviser les évaluations de l’impact sur la protection des données et à agir en tant que point de contact pour les régulateurs gouvernementaux et les personnes concernées.
Toutes les organisations publiques ont l'obligation de nommer des DPO. Les entreprises privées doivent nommer les DPO si leur activité principale consiste à surveiller les personnes concernées à grande échelle ou à traiter les données de catégories spéciales. En outre, les entreprises situées en dehors de l’Europe doivent désigner des représentants dans l’EEE s’ils traitent régulièrement les données des résidents de l’EEE ou des données particulièrement sensibles.
Les responsables du traitement des données sont responsables de toutes les données qu’ils partagent avec les sous-traitants et les tiers. Les responsables et les sous-traitants entrent souvent dans des accords formels de traitement des données pour se conformer au RGPD. Ces contrats livrent des détails tels que les types de traitement qu’un responsable du traitement peut réaliser et les types de mesures de sécurité qu’il doit utiliser.
Les sous-traitants ont l'obligation de traiter les données conformément aux instructions du responsable du traitement. Ils ne peuvent pas utiliser les données d’un responsable à leurs propres fins.
Les responsables du traitement des données de l’EEE ne peuvent transférer des données aux sous-traitants que dans des « pays tiers » en dehors de l’EEE sous certaines conditions. Ils peuvent transférer librement des données vers n’importe quel pays tiers qui, selon la Commission européenne, dispose d'un arsenal législatif en adéquation avec ses propres règles afférentes à la confidentialité des données. Les responsables du traitement peuvent également transférer des données à des sous-traitants individuels dont la Commission estime que les garanties sont suffisantes. Si ni le pays ni le sous-traitant ne dispose de l’approbation de la Commission, le transfert peut toujours être autorisé si le responsable du traitement peut garantir la protection des données.
Les responsables du traitement des données et les sous-traitants doivent mettre en place des mesures de sécurité organisationnelles et techniques pour la protection des données personnelles.
Les mesures organisationnelles comprennent des processus tels que la formation des employés aux règles du RGPD et la mise en œuvre de politiques formelles de gouvernance des données.
Les contrôles de sécurité techniques comprennent la surveillance des logiciels, du matériel et d’autres outils technologiques. Par exemple, le chiffrement et d’autres techniques de pseudonymisation peuvent rendre difficile l’interception des données personnelles par les pirates. Par exemple :
Le RGPD oriente les entreprises vers l’adoption du principe de protection des données par conception et par défaut. En d’autres termes, les entreprises doivent faire de la sécurité des données un facteur clé dans chaque processus, produit et système qu’elles conçoivent ou déploient. Les principes de protection des données doivent être au cœur de toutes les activités de l’entreprise et non les considérer comme une question secondaire.
Les responsables du traitement des données doivent signaler la plupart des violations de données personnelles à une autorité de contrôle dans un délai de 72 heures. Si une violation présente des risques pour les personnes concernées, tels que le vol d’argent ou d’identité, l’entreprise doit en informer les personnes concernées.
Les notifications de violation doivent être envoyées directement aux victimes. Une annonce publique n’est pas suffisante à moins que la communication directe apparaisse déraisonnable. Les notifications doivent inclure des détails sur les types de données volées, les risques pour les personnes concernées et la façon dont l’entreprise traite la situation. La notification doit également indiquer aux sujets comment contacter le DPO ou un autre représentant en cas de problème. L’entreprise n’a pas besoin de notifier les personnes concernées si une violation est peu susceptible de présenter un risque réel pour elles. Par exemple, la notification n’est pas requise si les données volées sont fortement chiffrées et inutilisables pour les pirates.
Dans sa juridiction, le RGPD énumère un certain nombre de droits pour les personnes concernées.
Les personnes concernées ont le droit de savoir qui détient leurs données, comment elles les ont obtenues et ce qu’elles en font.
Les personnes concernées ont le droit d’accéder à toutes les données dont dispose une entreprise.
Les personnes concernées ont le droit de corriger des données personnelles inexactes ou obsolètes.
Parfois appelé le « droit à l’oubli », cette notion fait référence au droit d’un utilisateur de demander aux entreprises de supprimer ses données. Les entreprises doivent se conformer à moins que l’intérêt des données (par exemple, une obligation légale de conserver certains dossiers) n’outrepasse ce droit.
Si une personne concernée estime que ses données sont inexactes, utilisées illégalement ou non aux fins de l’entreprise, il peut demander à l’entreprise de limiter l’utilisation de ses données. La société doit se conformer à moins qu’elle ne puisse prouver qu’elle a un intérêt excessif pour le traitement des données.
Les personnes concernées ont le droit de transférer leurs données d’une entreprise à une autre. Les entreprises doivent faciliter le transfert des données personnelles en stockant les données dans un format partageable ou en les envoyant à un tiers à la demande de la personne concernée.
Les personnes concernées peuvent s’opposer à tout moment au traitement de leurs données. L’entreprise doit interrompre le traitement jusqu’à ce qu’elle puisse prouver qu’elle dispose de motifs légitimes et impérieux de le faire.
Le RGPD définit le profilage comme l’utilisation d’un traitement automatisé pour évaluer certains aspects d’une personne, tels que la prédiction de ses performances professionnelles ou de son comportement de navigation sur Internet. Les entreprises ne peuvent pas utiliser le traitement automatisé pour prendre des décisions importantes sans le consentement des personnes concernées. Les personnes concernées ont le droit de contester les décisions prises sur la seule base d’un traitement automatisé. Elles peuvent apporter leur contribution à la décision et demander à l’entreprise de nommer un employé humain pour examiner la décision.
Le RGPD est appliqué par les organismes de réglementation publics appelés autorités de protection des données (APD), ou autorités de contrôle. Chaque Etat membre possède son propre APD, qui a une juridiction sur les entreprises basées dans ledit Etat. Les autorités de surveillance peuvent auditer les entreprises, entendre les plaintes des personnes concernées et enquêter sur les violations. Si une violation potentielle concerne des sujets provenant de plusieurs Etats, l’enquête est menée par l’autorité de contrôle de l’Etat où se trouve l’entreprise ou son représentant.
En cas de non-conformité, les autorités de contrôle peuvent infliger des amendes et contraindre les organisations à apporter des modifications spécifiques. Elles peuvent forcer les entreprises à honorer les demandes des personnes concernées et à mettre fin à des activités illicites de traitement des données.
Le Conseil européen de protection des données (CEPD) facilite la coordination entre les APD et garantit une application cohérente des règles du RGPD au sein de l’EEE.
Les amendes en cas de non-conformité peuvent être substantielles. Les infractions mineures, telles que le traitement des données d’un enfant sans le consentement des parents, peuvent entraîner des amendes pouvant aller jusqu’à 10 000 000 euros ou 2 % du chiffre d’affaires mondial de l’organisation l’année précédente, le montant le plus élevé étant retenu.
Les infractions majeures, telles que le traitement de données à des fins illégales, peuvent donner lieu à des amendes allant jusqu’à 20 000 000 euros ou 4 % du chiffre d’affaires mondial de l’organisation au cours de l’année précédente, le montant le plus élevé étant retenu.
