RGPD ou GDPR : Le Guide complet

Le Règlement Général sur la Protection des Données est un règlement européen qui a pour objectif de renforcer et d’unifier la protection des données à caractère personnel des citoyens de l’Union européenne. En vigueur depuis le 25 mai 2018, ce règlement offre une protection plus stricte et des droits plus étendus aux personnes dont les données sont collectées et traitées. Dans cet article, nous allons passer en revue les principaux articles du règlement et les sanctions à appliquer en cas de non-respect. Nous vous expliquerons également comment appliquer le règlement dans votre entreprise et comment vous assurer que vous respectez bien les dispositions du règlement.

Trouver le bon DPO
Vous êtes à la recherche d'un "Data protection officer" lequel choisir ?
Sommaire :

Qu’est-ce que le RGPD ? [Définition simple]

Le RGPD est le Règlement Général sur la Protection des Données. Il s’agit du texte juridique qui encadre le traitement des données à caractère personnel au niveau de l’Union européenne. L’objectif de ce règlement est d’offrir aux citoyens européens un niveau élevé de protection de leurs données personnelles et d’harmoniser la législation au niveau européen.

Toute entreprise qui stocke, manipule et traite des données personnelles de résidents européens est soumise aux règles du RGPD. Les autres organisations (associations, administrations, fondations…) sont tout autant concernées.

De fait, le RGPD concerne la très grande majorité des entreprises et organisations !

Le RGPD est en vigueur depuis mai 2018. En France, les dispositions contenues dans le RGPD ont été transposées dans la Loi Informatique & Libertés (datant de 1978 et mise à jour en 2019).

Toute entreprise ou organisation qui n’est pas conforme au RGPD encourt une amende pouvant aller jusqu’à 20 millions d’euros ou jusqu’à 4% du chiffre d’affaires mondial.

En France, la CNIL veille à la bonne application du RGPD par les acteurs économiques. 

Le règlement RGPD sur la protection des données personnelles impose de nouvelles obligations pour les entreprises

Le RGPD renforce les obligations des entreprises faisant du traitement de données à caractère personnel (DCP) – il concerne par conséquent pratiquement toutes les entreprises !

Voici les principales obligations pour les entreprises :

  • Au moment de la collecte de données, les entreprises doivent obtenir le consentement clair et explicite des personnes concernées. Les entreprises doivent être transparentes sur l’utilisation qu’elles comptent faire des données collectées. Si les règles sont plus souples en B2B, la collecte de données sur des particuliers devient très encadrée. Le recueil du consentement au moment de la collecte concerne également les cookies (considérés par le législateur européen comme des données personnelles). Découvrez à ce sujet notre guide complet RGPD & Cookies. Si vous utilisez un site WordPress, découvrez notre guide RGPD & WordPress.
  • Les entreprises doivent garantir l’exercice des droits des personnes, via des procédures et des outils appropriés. Voici quelques exemples de droits consacrés ou renforcés par le RGPD : le droit d’accès, le droit à l’oubli, le droit de rectification, le droit à la limitation des traitements, le droit à la portabilité…
  • Les entreprises doivent mettre en place les mesures organisationnelles et techniques assurant un niveau optimal de sécurisation des données stockées. En cas de fuite de données, c’est l’entreprise qui est responsable. Voici quelques exemples de mesures de sécurité : analyses d’impact, cryptage des données, pseudonymisation, tests d’intrusion…
  • Toutes les entreprises faisant du traitement de DCP doivent tenir un registre recensant l’ensemble des traitements réalisés. Il doit être régulièrement mis à jour.
  • Certaines entreprises ont pour obligation de désigner un Data Protection Officer – DPO (voir section suivante).

Pour aller plus loin, découvrez notre guide complet sur le sujet : RGPD  – Quelles sont les nouvelles obligations pour les entreprises ?

Quel est le rôle du Data Protection Officer ? La désignation d’un DPO est-elle obligatoire ?

Ce sont peut-être des questions que vous vous posez en tant qu’entreprise. Devez-vous recruter un DPO ? Rappelons pour commencer que DPO est l’acronyme de Data Protection Officer. On parle parfois aussi de « Délégué à la Protection des Données ».

Le DPO un rôle de chef d’orchestre. En phase de mise en conformité au RGPD (audit RGPD, certification RGPD), il pilote le projet. Par la suite, le DPO joue le rôle d’interlocuteur entre votre entreprise (en particulier, les responsables des traitements de données) et l’autorité de contrôle (la CNIL). Il veille en permanence à la bonne application par l’entreprise de ses obligations en matière de gestion des données personnelles.

L’article 37 du RGPD précise les cas où le DPO est obligatoire. En synthèse, la désignation d’un Data Protection Officer est obligatoire :

  • Pour les organismes publics – à l’exception des tribunaux. Par exemple : l’Etat, les collectivités territoriales, les établissements publics.
  • Pour les entreprises dont l’activité de base implique un suivi régulier et systématique des personnes concernées par les traitements.
  • Pour les entreprises traitant « à grande échelle » des données sensibles.

Cet article 37 fait l’objet de beaucoup de débats, en raison des zones de flou qu’il contient (notamment la notion de « à grande échelle »). Si vous n’êtes pas sûr de savoir si vous faites partie ou non des entreprises visées par l’article 37, nous vous invitons à entrer en contact avec l’un de nos experts juridiques en utilisant le formulaire du site.

Quoiqu’il en soit, il peut faire sens de désigner un Data Protection Officer même si votre entreprise n’y est pas obligée. Pour en savoir plus sur ce sujet, découvrez notre guide complet : « Le DPO : Est-il obligatoire ? Comment trouver le vôtre ? Externe ou interne ? ». Vous découvrez la réponse à une autre question souvent posée : faut-il internaliser ou externaliser la fonction de DPO ?

Comment mettre en conformité son entreprise au RGPD ?

La CNIL devient de plus en plus sévère vis-à-vis des entreprises ne respectant pas leurs obligations en matière de protection des données personnelles. Vous n’avez pas encore entrepris de démarche de mise en conformité ? Vous ne devez plus repousser le moment de le faire ! Voici, en résumé, les quatre grandes étapes générales d’un projet de mise en conformité au RGPD :

  • Etape 1 – Vous devez recenser l’ensemble des données à disposition de votre système d’information, qualifier les usages que vous en faites et leur lieu de stockage. Ce travail prend la forme d’une cartographie des données et des traitements. Vous pouvez vous aider pour cela de Logiciels RGPD.
  • Etape 2 – Vous devez analyser les écarts entre votre pratique actuelle en matière de gestion des données et les règles & obligations fixées par le RGPD. C’est la phase du diagnostic.
  • Etape 3 – Sur la base du diagnostic, vous devez construire un plan d’actions et ordonnancer les chantiers de travail en priorisant les actions les plus urgentes (par exemple : la refonte de vos formulaires web).
  • Etape 4La quatrième et dernière consiste à déployer de manière progressive le plan d’actions.

Les contrôles de la CNIL et les sanctions en cas de non-conformité

La Commission nationale de l’informatique et des libertés – la CNIL – est en France l’autorité administrative chargée de veiller à la bonne application du règlement RGPD. Pour en savoir plus sur cette institution, découvrez notre article : « Protection des données personnelles : Quelles sont les missions de la CNIL ? ».

Pour vérifier que les entreprises respectent leurs obligations, la CNIL peut exercer des contrôles. Les contrôles peuvent prendre plusieurs formes. On distingue les contrôles sur place, les contrôles sur audition, les contrôles en ligne et les contrôles sur pièces. La CNIL est particulièrement vigilante sur les 3 points suivants :

Suite à un contrôle et en cas de manquement à certaines obligations, la CNIL envoie à l’entreprise un courrier de mise en demeure. Celui-ci contient une liste des actions à mettre en œuvre et un délai maximum d’exécution. Si les actions ne sont pas réalisées dans les délais, la CNIL peut infliger des sanctions pécuniaires pouvant atteindre jusqu’à 4% du chiffre d’affaires mondial de l’entreprise – ou bien 20 millions d’euros.

Ce sont des amendes considérables qui peuvent mettre en péril la survie même de l’entreprise. D’où l’importance, une nouvelle fois, de mettre en conformité votre entreprise. Vous pouvez vous faire accompagner dans cette démarche par un DPO ou bien un avocat RGPD.

Pour en savoir plus sur les contrôles de la CNIL et les risques en cas de manquement au RGPD, découvrez notre guide complet dédié à ce sujet : « RGPD – L’essentiel à savoir sur les contrôles & sanctions de la CNIL ».

Transfert de données hors UE : liste des pays bénéficiant d’une décision d’adéquation

Le RGPD prévoit la possibilité pour les responsables de traitement et les sous-traitants d’organiser des transferts de données personnelles en dehors de l’Union Européenne, vers des pays non soumis au RGPD.

Ces pays n’offrent pas des mesures de protection des données appropriées ou équivalentes à celles garanties par le RGPD. Ces transferts restent possibles, mais seulement dans certains cas.

L’un de ces cas est une décision d’adéquation. L’article 45 du RGPD précise ce qu’est une décision d’adéquation : c’est une reconnaissance par la Commission européenne  que le niveau de protection accordé aux données personnelles est adéquat, et qui permet donc le transfert de données.

Cette décision de la Commission Européenne est basée sur plusieurs facteurs. Pour découvrir la liste des éléments sur lesquelles se base la Commission Européenne pour définir le niveau adéquat de protection des données, cliquez ici.

Découvrez la liste des pays bénéficiant d’une décision d’adéquation, et donc vers lesquelles les transfert de données personnelles sont autorisés !

Liste des pays bénéficiant d’une décision d’adéquation :

 Carte des pays avec décision adéquation RGPD

  • Pays soumis au RGPD / bénéficiant d’une décision d’adéquation
  • Pays nous soumis au RGPD / ne bénéficiant pas de décision d’adéquation

Liste des pays

  1. Andorre ;
  2. Argentine ;
  3. Canada* ;
  4. Corée du Sud ;
  5. Îles Féroé ;
  6. Guernesey ;
  7. Israël ;
  8. Île de Man ;
  9. Japon ;
  10. Jersey ;
  11. Nouvelle-Zélande ;
  12. Royaume-Uni ;
  13. Suisse ;
  14. Uruguay
 

* Pour certains traitements seulement, soumis à la loi canadienne « Personal Information Protection and Electronic Documentation Act ».

Saviez-vous que la Suisse vient récemment d’adopter sa propre réglementation en matière de Protection des Données Personnelles ? Découvrez tous les aspects et principes essentiels de la LPD Suisse dans notre article : LPD Suisse : Tout ce que Vous Devez Savoir sur la Loi sur la Protection des Données. 

Trouver un DPO
Vous êtes à la recherche d'un "Data protection officer" ?

Articles RGPD : règlement général sur la protection des données

Le Règlement Général sur la Protection des Données (RGPD) est un règlement européen visant à renforcer et à unifier la protection des données à caractère personnel des citoyens de l’Union européenne. En vigueur depuis le 25 mai 2018, le RGPD offre une protection plus stricte et des droits plus étendus aux personnes dont les données sont collectées et traitées.

La complexité du RGPD a rendu sa compréhension et sa mise en œuvre parfois difficile pour les entreprises et les organismes concernés. Afin de faciliter la compréhension de ce règlement et d’aider les entreprises à se conformer à ses exigences, nous avons rédigé une liste complète et expliquée tous les articles du RGPD, accompagnée des sanctions associées. Nous espérons que cette liste et ces explications vous seront utiles.

CHAPITRE I – Dispositions générales

Article premier – Objet et objectifs
Article 2 – Champ d’application matériel
Article 3 – Champ d’application territorial
Article 4 – Définitions

CHAPITRE II – Principes

Article 5 – Principes relatifs au traitement des données à caractère personnel
Article 6- Licéité du traitement
Article 7 – Conditions applicables au consentement
Article 8 – Conditions applicables au consentement des enfants en ce qui concerne les services de la société de l’information
Article 9 – Traitement portant sur des catégories particulières de données à caractère personnel
Article 10 – Traitement des données à caractère personnel relatives aux condamnations pénales et aux infractions
Article 11 – Traitement ne nécessitant pas l’identification

CHAPITRE III – Droits de la personne concernée

Section 1 – Transparence et modalités

Article 12 – Transparence des informations et des communications et modalités de l’exercice des droits de la personne concernée

Section 2 – Information et accès aux données à caractère personnel

Article 13 – Informations à fournir lorsque des données à caractère personnel sont collectées auprès de la personne concernée
Article 14 – Informations à fournir lorsque les données à caractère personnel n’ont pas été collectées auprès de la personne concernée
Article 15 – Droit d’accès de la personne concernée

Section 3 – Rectification et effacement

Article 16 – Droit de rectification
Article 17 – Droit à l’effacement («droit à l’oubli»)
Article 18 – Droit à la limitation du traitement
Article 19 – Obligation de notification en ce qui concerne la rectification ou l’effacement de données à caractère personnel ou la limitation du traitement
Article 20 – Droit à la portabilité des données

Section 4 – Droit d’opposition et prise de décision individuelle automatisée

Article 21 – Droit d’opposition
Article 22 – Décision individuelle automatisée, y compris le profilage

Section 5 – Limitations

Article 23 – Limitations

CHAPITRE IV – Responsable du traitement et sous-traitant

Section 1 – Obligations générales

Article 24 – Responsabilité du responsable du traitement
Article 25 – Protection des données dès la conception et protection des données par défaut
Article 26 – Responsables conjoints du traitement
Article 27 – Représentants des responsables du traitement ou des sous-traitants qui ne sont pas établis dans l’Union.
Article 28 – Sous-traitant
Article 29 – Traitement effectué sous l’autorité du responsable du traitement ou du sous-traitant
Article 30 – Registre des activités de traitement
Article 31 – Coopération avec l’autorité de contrôle

Section 2 – Sécurité des données à caractère personnel

Article 32 – Sécurité du traitement
Article 33 – Notification à l’autorité de contrôle d’une violation de données à caractère personnel
Article 34 – Communication à la personne concernée d’une violation de données à caractère personnel

Section 3 – Analyse d’impact relative à la protection des donnés et consultation préalable

Article 35 – Analyse d’impact relative à la protection des données
Article 36 – Consultation préalable

Section 4 – Délégué à la protection des données

Article 37 – Désignation du délégué à la protection des données
Article 38 – Fonction du délégué à la protection des données
Article 39 – Missions du délégué à la protection des données

Section 5 – Codes de conduite et certification

Article 40 – Codes de conduite
Article 41 – Suivi des codes de conduite approuvés
Article 42 – Certification
Article 43 – Organismes de certification

CHAPITRE V – Transferts de données à caractère personnel vers des pays tiers ou à des organisations internationales

Article 44 – Principe général applicable aux transferts
Article 45 – Transferts fondés sur une décision d’adéquation
Article 46 – Transferts moyennant des garanties appropriées
Article 47 – Règles d’entreprise contraignantes
Article 48 – Transferts ou divulgations non autorisés par le droit de l’Union
Article 49 – Dérogations pour des situations particulières
Article 50 – Coopération internationale dans le domaine de la protection des données à caractère personnel

CHAPITRE VI – Autorités de contrôle indépendantes

Section 1 – Statut d’indépendance

Article 51 – Autorité de contrôle
Article 52 – Indépendance
Article 53 – Conditions générales applicables aux membres de l’autorité de contrôle
Article 54 – Règles relatives à l’établissement de l’autorité de contrôle

Section 2 – Compétence, missions et pouvoirs

Article 55 – Compétence
Article 56 – Compétence de l’autorité de contrôle chef de file
Article 57 – Missions
Article 58 – Pouvoirs
Article 59 – Rapports d’activité

CHAPITRE VII – Coopération et cohérence

Section 1 – Coopération

Article 60 – Coopération entre l’autorité de contrôle chef de file et les autres autorités de contrôle concernées
Article 61 – Assistance mutuelle
Article 62 – Opérations conjointes des autorités de contrôle

Section 2 – Cohérence

Article 63 – Mécanisme de contrôle de la cohérence
Article 64 – Avis du comité
Article 65 – Règlement des litiges par le comité
Article 66 – Procédure d’urgence
Article 67 – Échange d’informations

Section 3 – Comité européen de la protection des données

Article 68 – Comité européen de la protection des données
Article 69 – Indépendance
Article 70 – Missions du comité
Article 71 – Rapports
Article 72 – Procédure
Article 73 – Président
Article 74 – Missions du président
Article 75 – Secrétariat
Article 76 – Confidentialité

CHAPITRE VIII – Voies de recours, responsabilité et sanctions

Article 77 – Droit d’introduire une réclamation auprès d’une autorité de contrôle
Article 78 – Droit à un recours juridictionnel effectif contre une autorité de contrôle
Article 79 – Droit à un recours juridictionnel effectif contre un responsable du traitement ou un sous-traitant
Article 80 – Représentation des personnes concernées
Article 81 – Suspension d’une action
Article 82 – Droit à réparation et responsabilité
Article 83 – Conditions générales pour imposer des amendes administratives
Article 84 – Sanctions

CHAPITRE IX –  Dispositions relatives à des situations particulières de traitement

Article 85 –  Traitement et liberté d’expression et d’information
Article 86 – Traitement et accès du public aux documents officiels
Article 87 – Traitement du numéro d’identification national
Article 88 – Traitement de données dans le cadre des relations de travail
Article 89 – Garanties et dérogations applicables au traitement à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques
Article 90 – Obligations de secret
Article 91 – Règles existantes des églises et associations religieuses en matière de protection des données

CHAPITRE X – Actes délégués et actes d’exécution

Article 92 – Exercice de la délégation
Article 93 – Comité

CHAPITRE XI – Dispositions finales

Article 94 – Abrogation de la directive 95/46/CE
Article 95 – Relation avec la directive 2002/58/CE
Article 96 – Relation avec les accords conclus antérieurement
Article 97 – Rapports de la Commission
Article 98 – Réexamen d’autres actes juridiques de l’Union relatifs à la protection des données
Article 99 – Entrée en vigueur et application