Le RGPD ou GDPR en anglais est le RÈGLEMENT de l’UE 2016/679 émanant du Parlement Européen et du Conseil de l’Europe du 27 avril 2016 qui traite de la protection de la vie privée des personnes physiques et du traitement des données à caractère personnel et à la libre circulation de ces données. Il abroge la directive 95/46/CE ou le « Règlement Général sur la Protection des Données » qui introduit des mesures fixant le cadre juridique relatif à la protection des données personnelles au sein de l’Union européenne.
Depuis le 25 Mai 2018, tellement de questions jaillissent…
Qu’est ce que le RGPD ? Le RGPD c’est quoi ? RGPD Quésaco ? RGPD signification ?
Vous auriez aimé un article du genre “le RGPD pour les nuls” ? Eh bien le voici !
Une véritable révolution de société voilà ce qu’est le RGPD. Le monde du numérique est en ébullition. Les entreprises sont sur le qui-vive et les usagers quotidiennement interrogés et dérangés, jusqu’à la nausée, au sujet de leur desiderata en matière de droit et de données personnelles. Pourtant il s’agit bien de leur protection et c’est une énorme avancée. C’est désormais terminée le harcèlement sauvage de la vie privée et la récupération marketing presque malhonnête des données intimes. Le droit de l’internaute est devenu un must incontournable. Tout d’abord commençons par le commencement en expliquant clairement le sens de cet acronyme un peu barbare.
(R) règlement (G) général (P) de protection (D) des données personnelles
Qu’est ce que le RGPD ? C’est le GDPR français, une législation européenne immédiatement applicable dans chaque état européen.Le RGPD ou règlement général européen de la protection et de la sécurité des données est entré en vigueur le 25 mai 2018. Depuis cette date, la mise en conformité des entreprises et des administrations est une nécessité et une obligation. Un nouveau personnage apparaît mais aussi un nouveau métier le Data Protection Officer autrement appelé DPO. À peine arrivé sur le marché, ce poste élevé en niveau dans les entreprises et les administrations est déjà en pénurie. On parle du recrutement de 24000 DPO en France.
Qu’est ce que le RGPD et pourquoi a-t-il été rédigé ?
De nombreuses règles du RGPD, règlement général de la protection des données, sont similaires à celles définies dans la directive européenne de 1995 sur la protection des données. Toutefois, l’ancienne directive a été créée avant l’âge des médias sociaux et avant que l’Internet n’ait entièrement bousculé notre façon de travailler et de vivre.
Nous avons presque tous profité de l’utilisation des services ” gratuits ” de Google, Facebook et Twitter en échange d’un large éventail de renseignements personnels (noms, adresses électroniques, préférences marketing, tendances politiques ou orientations sexuelles. Des “termes et conditions” confus et indigestes, des cases à cocher passives et tendancieuses ont rendu difficile le refus de communiquer ses données privées. La révolution actuelle est complètement centrée sur le droit de l’utilisateur, sur la protection de ses droits fondamentaux de retrait, de sa vie privée et de ses libertés individuelles. L’ancienne loi Informatique et Libertés est vraiment devenue obsolète car aujourd’hui le règlement et beaucoup plus complet et beaucoup plus incisif.
Un des exemples fameux et récent de l’utilisation inadéquate des données personnelles, a été le scandale par lequel Facebook aurait prétendument influencé le résultat des élections américaines de 2016. Ce n’est pas rien…
L’un des objectifs distincts du RGPD est de permettre aux entreprises de se conformer plus facilement et à moindre coût aux règles de protection des données. La directive de l’UE de 1995 a permis aux États membres d’interpréter les règles comme bon leur semblait et les interprétations locales ont foisonné. La nature du RGPD en tant que règlement, et non en tant que directive, signifie qu’il s’applique directement sans qu’il soit nécessaire de le transformer en loi, ce qui crée moins de divergences d’interprétation entre les États membres. L’UE estime que cela permettra aux entreprises d’économiser 2,3 milliards d’euros par an. En attendant, il faut avouer que protéger l’utilisateur et mettre en conformité a plutôt tendance à augmenter les coûts de gestion des organismes
EN BREF: Qu’est ce que le RGPD pour les nuls
- Obligation pour la plupart des entreprises et des entités publiques depuis le 25 mai 2018.
- Concerne les données personnelles privé et intime des utilisateurs.
- Les sanctions en cas d’infraction sont énormes.
- Le pivot du système est le Data Protection Officer appelé aussi DPO.
- Le DPO doit être indépendant, transversal aux services dans l’entreprise et disposer des moyens et ressources nécessaires à sa fonction.
- L’ancien CIL, correspondant Informatique et Libertés, s’il existe doit être reconverti en DPO par une formation complète et intense.
- Le RGPD s’applique aussi aux entreprises extérieures à l’Union européenne qui accomplissent des traitements informatiques utilisant des données personnelles avec des citoyens européens.
- Un audit RGPD doit être mise en place pour la mise en conformité.
- Une AIPD doit être réalisée pour le traitement à grande échelle des données sensibles.
Le glossaire RGPD pour les nuls
GDPR: RGPD en anglais
DPO: Data Protection Officer, Délégué à la protection des données personnelles
AIPD: Analyse d’Impact des Données Personnelles (évaluation spécifique aux données sensibles)
PDIA: Idem que plus haut mais en anglais Personal Data Impact Assessment
DONNES SENSIBLES: Données hautement confidentielles telle que race, politique, religieux, syndical, sexuel, etc.
CNIL autorité de contrôle en France
G29 –WP29 ancien Groupe de travail Article 29, autorité de contrôle en Europe. Remplacé par CEPD
CEPD Comité Européen de la Protection des Données (remplace le groupe précédent G29)
La réforme de la protection des données poursuit trois objectifs et obligations :
- Renforcer les droits des personnes, notamment par la création d’un droit à la portabilité des données personnelles et de dispositions propres aux personnes mineures ; et
- Responsabiliser les acteurs traitant des données (responsables de traitement et sous-traitants) ; et
- Crédibiliser la régulation grâce à une coopération renforcée entre les autorités de protection des données qui pourront par exemple adopter des décisions communes lorsque les traitements de données seront transnationaux et imposer des sanctions renforcées.
Ce règlement, cherche à encadrer le traitement de données personnelles (voir article : « Quelles sont les différents types de données ? ») afin d’assurer notamment que celles-ci soient traitées de manière adéquate, pertinente et limitée à ce qui est nécessaire pour atteindre les finalités pour lesquelles le traitement de collecte existe.
En effet, ces mesures d’application directe dans chacun des 28 états membres sont nécessaires au regard de l’émergence de nouvelles technologies.
Par conséquent, il rend obligatoire le métier de « Data Protection Officer » dans toutes les entreprises (voir : Qu’est ce qu’un DPO et quel est son rôle ?)et administrations ou associations poursuivant des missions d’intérêt public qui sont amenées à traiter à grande échelle des données sensibles sous peine de se voir adresser une amende extrêmement dissuasive.
L’organe de contrôle peut infliger plusieurs types de sanctions administratives :
- L’avertissement
- La mise en demeure de l’entreprise concernée
- La limitation temporaire ou définitive d’un traitement
- La suspension des flux de données
- L’ordre de satisfaire aux demandes d’exercice des droits des personnes.
- Le retrait de certification.
A cela peuvent s’ajouter des sanctions financières très lourdes qui marquent la nouveauté de ce règlement européen. En effet, celles-ci peuvent s’élever, selon la typologie des types d’infractions, de 10 à 20 millions d’euros ou de 2 à 4% du chiffre d’affaire annuel mondial de l’entreprise. Le montant le plus élevé étant retenu.
En espérant avoir répondu à toutes vos questions : Qu’est ce que le RGPD ? Le RGPD c’est quoi ? RGPD Quésaco ? RGPD signification ? Il vous faut passer désormais à une vraie et complète formation RGPD.