Le RGPD a pour but de protéger les données personnelles. En effet, avec le développement des technologies, les informations vont circuler plus facilement entre différents acteurs comme les organismes publics ou privés. Il est donc devenu indispensable à l’échelle européenne de mettre en place un règlement général sur la protection des données. Mais de quoi parle-t-on réellement ?
Que signifie RGPD ?
Le RGPD ou Règlement général sur la Protection des Données est un texte européen entré en vigueur en mai 2018. Son objectif principal est d’encadrer de la même manière tous les traitements de données à caractère personnel en Europe. Néanmoins, il reprend plusieurs dispositions de la loi CNIL ou informatiques et libertés de 1978. Une réglementation qui est déjà dans la législation européenne.
Quant à l’entrée en vigueur du RGPD sur le territoire européen, elle s’est faite en deux étapes. D’abord, le 14 avril 2016 avec l’adoption du texte par le parlement européen et sa promulgation au Journal Officiel quelques jours après. Cependant, son application au niveau de chaque pays a été décalée de deux ans pour 2018. C’est une période durant laquelle les organismes étatiques ou privés en charge du traitement des données personnelles se préparent et adaptent les dispositions du RGPD.
Ainsi, depuis le 25 mai 2018, le non-respect du Règlement général sur la Protection des Données va entrainer des sanctions.
Les sanctions en cas de non-respect du RGPD
Le non-respect des règles du RGPD expose les organismes contrevenants à des sanctions de différentes natures :
- Des mesures correctrices pour compléter les sanctions administratives. Dans ce cas, la CNIL pourra délivrer un avertissement, une mise en demeure, ou une suspension temporaire.
- Les sanctions administratives prononcées par la CNIL en fonction de la gravité et la durée de la violation. Des amendes sont fixées.
- Les sanctions pénales sont prises par les États membres. En France, elles sont prévues par le Code Pénal pour détournement de finalité du traitement des données.
- La condamnation au versement de dommages et intérêts pour l’organisme à l’origine de la violation du RGPD.
- La publicité de la violation commise par l’entreprise ordonnée par la CNIL.
RGPD : qui est concerné ?
En principe, le Règlement général sur la Protection des Données s’applique à toutes les formes d’organisation qui effectue un traitement de données personnelles. Ainsi, cette organisation peut se trouver sur le territoire de l’Union européenne ou cible des résidents européens.
Le RGPD concerne également les entreprises installées dans l’UE qui stockent les données personnelles. Dans ce cas, il n’est pas obligatoire que la collecte des données soit leur activité principale ou qu’elle soit effectuée pour le compte d’une autre entreprise. À noter que cette réglementation s’applique, quelle que soit la taille de l’organisme, privé ou public. Son application ne dépend pas également du chiffre d’affaires.
Le RGPD s’applique aussi aux sous-traitants des entreprises se trouvant sur le sol européen ou en dehors. La réglementation a posé le principe de la coresponsabilité des deux entités : entreprise et sous-traitants à cause des données à caractère personnel remises aux prestataires. À noter que le règlement doit être respecté même si les données des citoyens européens sont stockées dans un pays hors Europe.
Qu’est-ce qu’on entend par sous-traitant RGPD ?
Selon la CNIL, le sous-traitant est défini comme une entité traitant des données personnelles pour le compte et sous les ordres d’un responsable de traitement. La RGPD le définit comme une personne physique ou morale qui détermine les méthodes de traitements des données à caractère personnel.
Les activités du sous-traitant en matière de traitement des données peuvent gérer des campagnes marketing, gérer la paie, servir d’hébergement web ou déployer une solution informatique. Néanmoins, il est important de savoir que les fabricants de matériels informatiques et les éditeurs de logiciels n’ont pas la qualité de sous-traitant.
Les objectifs du RGPD
Le RGPD a plusieurs objectifs dont en voici les plus importants.
Harmonisation de la réglementation sur les données personnelles
Avec le contrôle des données personnelles, notamment en harmonisant la juridiction européenne et en supprimant les différences de réglementation des pays. En d’autres termes, l’objectif est d’avoir un seul cadre juridique applicable à tous les pays membres de l’UE.
Renforcement du droit des citoyens
L’objectif du RGPD est de renforcer le droit des citoyens majeurs ou mineurs en matière de données personnelles en simplifiant la compréhension des règlements dans les entreprises. Ainsi, il est obligatoire d’informer les mineurs sur l’utilisation de leurs données et les raisons du stockage. Le RGPD a octroyé des droits au citoyen : le droit d’accès, de rectification, d’opposition et d’oubli par rapport à leurs informations personnelles traités par des entreprises ou organismes tiers.
Protection accrue des données personnelles
Le dernier objectif du RGPD est de favoriser la responsabilité des entités concernée pour mettre en place un climat de confiance. Pour cela, les entreprises doivent construire des sites internet conformes au Règlement général sur la Protection des Données. Elles doivent ainsi rendre compte à tout moment, garantir la transparence de l’utilisation des données en utilisant une cartographie des traitements.