Qui est concerné par le rgpd ?

RGPD collecte de donnée

 

Le 14 Avril 2023, une vingtaine de pays membre de l’Union européenne se sont réunis pour procéder à l’adoption d’un règlement : le RGPD. Ce dernier, a pour but d’harmoniser les pratiques autrefois disparates au sein des entreprises de l’espace européen. Qui est concerné par le RGPD ? Qu’entend-on par RGPD ? Qu’est-ce qu’une donnée personnelle ? Qu’est-ce qu’un traitement de données personnelles ? Comment se mettre en conformité? Quels droits garantis-t-il et quelles sanctions y sont liées ?

 

Toutes les entreprises répondantes aux critères établis

 

Qui est concerné par le RGPD ? c’est une question qui revient très souvent. En réalité, le champ d’action du RGPD est très vaste. Il peut s’appliquer à tout type d’organisation si celle-ci, en plus de manipuler des données personnelles remplie les deux critères établis. Autrement dit, une organisation est soumise au RGPD :

  • Lorsqu’elle est implantée dans l’un des états membres de l’Union européenne ;
  • Lorsque son activité cible des personnes résidentes au sein de cet espace.

De ce fait, toutes les organisations implantées dans l’UE et ayant pour activité principale ou non la collecte de données, doivent se conformer au RGPD. Celles collectant des données pour le compte d’autrui, qu’il s’agisse d’une entreprise privée ou d’un organisme public ne sont pas épargnées. Pour ceux-ci, la réglementation ne différencie nullement les collaborations B2B (entre professionnels) des collaborations B2C (entre clients et professionnels). De même, quel que soit le chiffre d’affaires de votre entreprise, vous devrez vous y conformer.

Cependant, ce ne sont pas uniquement les entreprises européennes qui sont soumises au RGPD. Bien qu’étant implantés en dehors de l’espace UE, les sous-traitants d’une entreprise européenne doivent respecter ses prescriptions à cause du principe de coresponsabilité.

Néanmoins, des exceptions existent bel et bien. Ainsi, les comportements privés, les activités ayant trait à la prévention d’infractions pénales et les activités protégeant les libertés et droits fondamentaux y font exception.

 

Qu’entend-on par RGPD ?

 

Le monde digital a longtemps été un terrain fertile aux collectes d’informations personnelles. Celles-ci étaient traitées et utilisées à des fins inavouées qui pouvaient porter préjudice aux personnes identifiées. C’est ce qui a conduit 29 pays signataires de l’Union européenne à adopter le Règlement Général de Protection des Données (RGPD). Ce texte a été approuvé afin de structurer et d’imposer de nouvelles règles sur la collecte et l’utilisation des données personnelles.

Les dispositions du RGPD sont entrées en vigueur à partir du 25 Mai 2018. Elles poursuivent 4 objectifs phares à savoir :

  • Renforcer les droits des personnes et la protection des données ;
  • Rendre aux individus la maîtrise de leurs informations personnelles ;
  • Responsabiliser les acteurs traitant les données ;
  • Crédibiliser la régulation grâce à une coopération renforcée entre les autorités de protection des données.

Mais, ce règlement n’est pas nouveau, il s’inscrit tout simplement dans la logique de la loi française Informatique et libertés datant de l’an 1978. Le RGPD vient cependant renforcer un tant soit peu le contrôle des citoyens sur l’utilisation faite des données qu’ils partagent. L’autre avantage du RGPD est qu’il vient harmoniser les règles européennes sur l’utilisation des données à caractère personnelles. 

 

Qu’est-ce qu’une donnée personnelle ?

 

L’article 2 du RGPD définit une donnée à caractère personnel comme étant « …toute information relative à une personne physique identifiée ou qui peut être identifiée… ». L’article poursuit en ajoutant que cette identification peut être faite :

 

  • De façon directe (via un nom ou un prénom) ;
  • De façon indirecte (par un identifiant, un numéro de téléphone, un identifiant de carte d’identité ou bancaire, une adresse IP, ou encore un élément propre à son identité physique)

Dans son article 9, le RGPD va plus loin en rangeant certaines données dans une catégorie dite « sensible ». Au sein de celle-ci, sont rangées les informations génétiques, biométriques, médicales, opinion politique, etc. Celles-ci font l’objet de dispositions particulières.

 

Qu’est-ce qu’un traitement de données personnelles ?

 

Qu’elles soient personnelles ou non, le traitement de données est réalisé pour un but, une finalité. Autrement dit, il n’est pas possible de collecter des données personnelles sans avoir l’intention de les utiliser à un moment précis. C’est en fonction de l’objectif visé que les données seront traitées.

Un traitement de données personnelles est un ensemble d’opérations ayant trait à des données à caractère personnelles. Il peut être question d’une collecte, d’un enregistrement, de l’organisation, d’une conservation, d’une modification, etc.

Cependant, un document renfermant uniquement les données d’une entreprise (code postal, numéro, adresse, etc.) ne peut être considéré comme un traitement de données. Il est aussi important de signaler que, contrairement aux idées reçues, un traitement de donnée peut être effectuée sans l’intervention des outils informatiques.

 

Comment procéder pour se mettre en conformité avec le RGPD ?

 

Pour vous conformer au RGPD, il existe un certain nombre de conditions à respecter. Tout d’abord, vous devez obtenir le consentement de la personne ciblée et en garder les preuves. Ces preuves seront utiles au cas où vous devrez justifier la possession desdites informations. Comme preuves, vous pouvez par exemple demander une confirmation par mail. Vous devez aussi savoir que le consentement est révocable. Même s’il y a eu d’accord dans un premier temps, une révocation l’annule.

Ensuite, sur votre support de collecte de données (un formulaire par exemple), vous devez mentionner l’objet de la collecte et l’utilisation qui en sera faite. Vous devez aussi informer de la durée de conservation des données collectées.

Par ailleurs, le RGPD vous oblige à donner aux personnes dont vous collectez les données, la possibilité de faire valoir leurs droits. Autrement dit, vous devez mettre à leur disposition un mécanisme leur permettant de vous retirer leur consentement ou d’exercer leurs droits.

Vous devez également tenir un registre de traitement des données. La tenue d’un tel registre est obligatoire pour tout type de collecte d’informations. Il doit contenir entre autres le type de données collectées, leurs utilisations, la méthode de conservation, etc.

Enfin, en cas de piratage ou de fuite de données, vous devez avertir la CNIL. Pour cela, vous disposez d’un délai de 72h. En plus de la CNIL, vous devez informer les personnes concernées en cas de fuite de données sensibles.

 

Quels sont les droits garantis par le RGPD ?

 

Si sur le territoire français, une réglementation existait déjà, le RGPD vient harmoniser et renforcer les droits des utilisateurs. Grâce à elle, chaque personne concernée par la collecte aura :

 

  • Droit à une information complète, simple et détaillée sur le traitement qui sera fait de ses données collectées ;
  • Droit à l’information en cas de fuite, piratage ou tout autre situation mettant en péril ses données ;
  • Droit à la limitation, lui permettant d’arrêter le processus de traitement de l’information ;
  • Droit à la portabilité des données lui donnant le droit de changer de fournisseur ;
  • Droit d’opposition pour ne pas subir certains traitements au cours du profilage ;

Il a été également adopté un droit de disposition, exclusivement réservé aux personnes mineures.

 

Quelles sont les sanctions liées au manque de respect des protocoles du RGPD ?

 

Pour s’assurer de son respect par les différentes composantes, le RGPD prévoit un certain nombre de sanctions. Celles-ci peuvent être prises lorsque suite à un contrôle, ou une dénonciation, le CNIL constatera des manquements aux différentes mesures prises. Elle pourra notamment :

 

  • Prononcer des avertissements ;
  • Mettre les entreprises en demeure ;
  • Circonscrire de façon temporaire ou définitive des traitements ;
  • Ordonner la suspension de flux de données ;
  • Obliger les entreprises à donner suite aux demandes d’exercice de droit des personnes

En plus de ces sanctions, la CNIL peut également contraindre au payement d’amendes administratives. Celles-ci peuvent aller de 10 à 20 millions d’euros pour les grandes entreprises et entre 2 et 4% du chiffre d’affaires annuel pour les entreprises.