Présentation du RGPD

Qu’est-ce que le RGPD ?

Le Règlement Général sur la Protection des Données (RGPD) est un cadre juridique conçu pour protéger la confidentialité des personnes dans l’Union européenne (UE) et leur permettre de mieux contrôler la façon dont leurs données personnelles sont collectées, traitées et utilisées.

Le RGPD s’applique au traitement des données personnelles partout dans le monde par les entreprises établies dans l’UE. Il s’applique également, à l’échelle mondiale, à toute entreprise située en dehors de l’UE qui traite les données personnelles de personnes dans le cadre de l’offre de biens et de services au sein de l’UE ou de la surveillance du comportement de personnes dans l’UE.

Le RGPD a été entériné dans les lois nationales des pays membres de l’UE et du Royaume-Uni.

Quelles sont les exigences principales du RGPD ?

Le RGPD est une étape positive vers la création d’une plus grande confiance et transparence entre les organisations et les individus. Il couvre notamment les domaines suivants :

  • Les données personnelles des personnes au sein de l’UE : il s’agit de toute information relative à un individu ou à une « personne concernée » qui peut être utilisée pour identifier directement ou indirectement cette personne. Il peut s’agir non seulement d’informations telles que le nom, l’adresse de courriel ou la photo, mais aussi de cartes de crédit ou de données bancaires, d’informations médicales, d’affiliations politiques, religieuses ou autres, de casiers judiciaires ou de l’adresse IP d’un ordinateur. Le RGPD ne fait pas de distinction entre les données à caractère personnel recueillies dans une relation d’entreprise à consommateur ou d’entreprise à entreprise, mais il existe d’autres lois concernant la façon dont les communications électroniques peuvent être utilisées et qui diffèrent lors du traitement direct avec des consommateurs.
  • Comment les informations personnelles sont traitées : les informations personnelles peuvent uniquement être recueillies et traitées si une base légale permet de le justifier. Le consentement est une base qui peut être utilisée à des fins de marketing direct, mais ce n’est pas la seule base légale. Les autres motifs de traitement licite des données à caractère personnel conformément à l’article 6 du RGPD comprennent l’exécution d’un contrat, le respect d’une obligation légale ou lorsqu’il existe un « intérêt légitime » de l’entreprise ou d’un tiers qui, tout bien considéré, ne porte pas atteinte aux droits de la personne en matière de confidentialité.
  • Les droits des personnes : les personnes ont le droit de demander : l’accès à leurs données personnelles, la correction des erreurs dans leurs données personnelles, la suppression de leurs données personnelles et/ou l’exportation de leurs données personnelles. Ils peuvent également s’opposer au traitement de leurs données personnelles ou demander la restriction des activités de traitement.
  • Brèches de données : il existe des obligations de signaler certains types de violations de données à l’autorité de surveillance compétente et aux personnes concernées (au Royaume-Uni, l’autorité compétente est le Bureau du Commissaire à l’Information (BCI)).
  • Sécurité des données et des systèmes : les données personnelles doivent être protégées par des mesures techniques et organisationnelles appropriées, afin de garantir un niveau de sécurité adapté aux risques d’atteinte à la confidentialité associés à tout élément particulier de données personnelles tout au long de leur cycle de vie.
  • Transferts à l’étranger : les données personnelles ne peuvent être transférées hors d’Europe que dans des circonstances limitées, notamment : i) vers des pays non-membres de l’Union européenne qui, selon la Commission européenne, offrent un niveau adéquat de protection des données ;
    (ii) lorsque des clauses types de protection des données approuvées par la Commission européenne sont utilisées par les parties dans le cadre du transfert ; (iii) lorsque des codes de conduite ou des certifications approuvés sont en place ; ou (iv) lorsque des « règles d’entreprise contraignantes » approuvées par la Commission européenne ont été adoptées par des groupes de sociétés.
  • Transparence : les politiques de confidentialité et les contrats d’utilisation doivent être simples, clairs et faciles à comprendre. Lors de la collecte de données à caractère personnel, il convient de préciser, entre autres, à quelles fins les données seront utilisées, comment et pendant combien de temps elles seront conservées, sur quelle base légale elles sont traitées et quels sont les droits dont dispose la personne concernée. Une fois recueillies légalement, les données personnelles ne doivent être utilisées qu’aux fins pour lesquelles elles ont été collectées et en stricte conformité avec les informations fournies à la personne.

Que signifie le RGPD pour les entreprises ?

L’objectif du RGPD est la mise en place d’une approche claire, honnête, transparente et éthique en ce qui concerne les données personnelles. Il s’applique aux entreprises qui sont des contrôleurs de données (la personne/entreprise qui détermine comment les données personnelles sont traitées) ou des responsables du traitement des données (la personne/entreprise qui traite les données personnelles sur instruction du contrôleur de données). Si votre organisation est concernée, vous devez vous assurer de protéger les données que vous utilisez, ainsi que la confidentialité des personnes auprès desquelles vous les avez collectées, comme vous le feriez pour tout autre bien.

Voici cinq mesures simples que vous pouvez adopter pour assurer votre conformité avec le RGPD :

  1. Sécurisez vos systèmes : assurez-vous que les systèmes qui collectent, traitent et stockent les données personnelles sont sécurisés. Vous devez prendre en compte des éléments tels que la sécurité physique (les serrures des portes, par exemple), la cybersécurité (les antivirus, par exemple), la sécurité des systèmes (les pare-feu, par exemple), la sécurité des données (le cryptage, par exemple) et la sécurité des dispositifs (l’authentification, par exemple).
  2. Documentez vos flux de données : cartographiez vos flux de données et d’informations pour vous aider à évaluer correctement vos risques en matière de protection de la confidentialité. Vérifiez lesquels de vos produits et services recueillent et traitent des données personnelles. Déterminer quelles informations personnelles sont recueillies, pourquoi elles le sont, comment elles sont utilisées, partagées, stockées, protégées, conservées et supprimées. Identifiez si les données sont des données personnelles sensibles et si vous êtes un contrôleur ou un responsable du traitement de ces données.
  3. Disposer d’une base légale pour le traitement : déterminer la base légale du traitement des données personnelles et la documenter. Il existe six bases légales sur lesquelles vous pouvez vous appuyer :
    • Consentement : lorsqu’un véritable choix et un contrôle existent. Le consentement doit être sans ambiguïté, librement donné, éclairé et être fourni par une action affirmative claire.
    • Intérêt légitime : il peut s’appliquer lorsque les informations personnelles sont utilisées d’une manière à laquelle la personne s’attendrait raisonnablement, que l’impact est minimal et qu’un intérêt légitime est nécessaire pour que le traitement ait lieu.
    • Contrat : pour remplir des obligations contractuelles ou lorsqu’une demande de prestation a été effectuée, comme l’envoi d’un devis avant de conclure un contrat.
    • Obligation légale : pour se conformer à une loi ou à une obligation légale.
    • Intérêt vital : pour protéger la vie d’une personne.
    • Tâche publique :  pour des fonctions publiques ou des tâches d’intérêt public.
    Le Bureau du Commissaire à l’Information dispose d’un outil d’aide interactif sur la base légale qui peut vous aider à déterminer la base légale la plus appropriée pour le traitement des données personnelles.
  4. Révisez vos politiques et divulgations : révisez et mettez à jour votre ou vos politiques de confidentialité pour vous assurer qu’ils reflètent vos activités de traitement des données personnelles. Ils doivent indiquer sur quelle base légale vous vous fondez pour traiter les données personnelles et mentionner clairement les tiers avec lesquels vous partagez ces données.Si vous vous fondez sur le consentement, assurez-vous que vos demandes de consentement sont claires et ne comportent pas de cases à cocher pré-cochées. Examinez et mettez à jour ou déterminez si d’autres déclarations ou divulgations concernant la collecte, l’utilisation et le traitement des informations personnelles sont nécessaires.
  5. Établissez des politiques et procédures internes : établissez des lignes directrices et des processus formalisés pour vous aider à gérer des situations telles que les plaintes relatives à la protection de la confidentialité, les brèches de données et les demandes d’accès aux informations personnelles.

Nous vous invitons également vous entretenir avec vos conseillers juridiques pour déterminer les actions à entreprendre pour assurer votre conformité avec le RGPD.

Autres ressources relatives au RGPD

Vous pouvez obtenir des informations plus utiles sur le RGPD auprès du Bureau du Commissaire à l’Information (BCI) – Guide relatif au RGPD.

Ce document est fourni à titre d’information générale et n’est pas destiné à fournir des conseils juridiques. Pour comprendre l’impact global du RGPD sur l’une de vos activités de traitement des données, veuillez consulter un professionnel indépendant du droit et/ou de la confidentialité.