RGPD : Le Guide complet

Le règlement général sur la protection des données personnelles – RGPD – est entré en vigueur le 25 mai 2018. Nous vous proposons dans ce guide une synthèse de l’essentiel à connaître sur cette nouvelle réglementation : Que veut dire RGPD ? Quelles sont les obligations nouvelles pour les entreprises ? Quel est le rôle du DPO ? Comment mettre en conformité son entreprise (Quelles étapes) ? Quid des contrôles de la CNIL et des sanctions en cas de manquement aux obligations du RGPD ?

Trouver un DPO
Vous êtes à la recherche d'un "Data protection officer" ?
Sommaire :

Qu’est-ce que le RGPD ? [Définition simple]

Le RGPD est le Règlement Général sur la Protection des Données. Il s’agit du texte juridique qui encadre le traitement des données à caractère personnel au niveau de l’Union européenne. L’objectif de ce règlement est d’offrir aux citoyens européens un niveau élevé de protection de leurs données personnelles et d’harmoniser la législation au niveau européen.

Toute entreprise qui stocke, manipule et traite des données personnelles de résidents européens est soumise aux règles du RGPD. Les autres organisations (associations, administrations, fondations…) sont tout autant concernées.

De fait, le RGPD concerne la très grande majorité des entreprises et organisations !

Le RGPD est en vigueur depuis mai 2018. En France, les dispositions contenues dans le RGPD ont été transposées dans la Loi Informatique & Libertés (datant de 1978 et mise à jour en 2019).

Toute entreprise ou organisation qui n’est pas conforme au RGPD encourt une amende pouvant aller jusqu’à 20 millions d’euros ou jusqu’à 4% du chiffre d’affaires mondial.

En France, la CNIL veille à la bonne application du RGPD par les acteurs économiques. 

Le règlement RGPD sur la protection des données personnelles impose de nouvelles obligations pour les entreprises

Le RGPD renforce les obligations des entreprises faisant du traitement de données à caractère personnel (DCP) – il concerne par conséquent pratiquement toutes les entreprises !

Voici les principales obligations pour les entreprises :

  • Au moment de la collecte de données, les entreprises doivent obtenir le consentement clair et explicite des personnes concernées. Les entreprises doivent être transparentes sur l’utilisation qu’elles comptent faire des données collectées. Si les règles sont plus souples en B2B, la collecte de données sur des particuliers devient très encadrée. Le recueil du consentement au moment de la collecte concerne également les cookies (considérés par le législateur européen comme des données personnelles). Découvrez à ce sujet notre guide complet RGPD & Cookies. Si vous utilisez un site WordPress, découvrez notre guide RGPD & WordPress.
  • Les entreprises doivent garantir l’exercice des droits des personnes, via des procédures et des outils appropriés. Voici quelques exemples de droits consacrés ou renforcés par le RGPD : le droit d’accès, le droit à l’oubli, le droit de rectification, le droit à la limitation des traitements, le droit à la portabilité…
  • Les entreprises doivent mettre en place les mesures organisationnelles et techniques assurant un niveau optimal de sécurisation des données stockées. En cas de fuite de données, c’est l’entreprise qui est responsable. Voici quelques exemples de mesures de sécurité : analyses d’impact, cryptage des données, pseudonymisation, tests d’intrusion…
  • Toutes les entreprises faisant du traitement de DCP doivent tenir un registre recensant l’ensemble des traitements réalisés. Il doit être régulièrement mis à jour.
  • Certaines entreprises ont pour obligation de désigner un Data Protection Officer – DPO (voir section suivante).

Pour aller plus loin, découvrez notre guide complet sur le sujet : RGPD  – Quelles sont les nouvelles obligations pour les entreprises ?

Quel est le rôle du Data Protection Officer ? La désignation d’un DPO est-elle obligatoire ?

Ce sont peut-être des questions que vous vous posez en tant qu’entreprise. Devez-vous recruter un DPO ? Rappelons pour commencer que DPO est l’acronyme de Data Protection Officer. On parle parfois aussi de « Délégué à la Protection des Données ».

Le DPO un rôle de chef d’orchestre. En phase de mise en conformité au RGPD (audit RGPD, certification RGPD), il pilote le projet. Par la suite, le DPO joue le rôle d’interlocuteur entre votre entreprise (en particulier, les responsables des traitements de données) et l’autorité de contrôle (la CNIL). Il veille en permanence à la bonne application par l’entreprise de ses obligations en matière de gestion des données personnelles.

L’article 37 du RGPD précise les cas où le DPO est obligatoire. En synthèse, la désignation d’un Data Protection Officer est obligatoire :

  • Pour les organismes publics – à l’exception des tribunaux. Par exemple : l’Etat, les collectivités territoriales, les établissements publics.
  • Pour les entreprises dont l’activité de base implique un suivi régulier et systématique des personnes concernées par les traitements.
  • Pour les entreprises traitant « à grande échelle » des données sensibles.

Cet article 37 fait l’objet de beaucoup de débats, en raison des zones de flou qu’il contient (notamment la notion de « à grande échelle »). Si vous n’êtes pas sûr de savoir si vous faites partie ou non des entreprises visées par l’article 37, nous vous invitons à entrer en contact avec l’un de nos experts juridiques en utilisant le formulaire du site.

Quoiqu’il en soit, il peut faire sens de désigner un Data Protection Officer même si votre entreprise n’y est pas obligée. Pour en savoir plus sur ce sujet, découvrez notre guide complet : « Le DPO : Est-il obligatoire ? Comment trouver le vôtre ? Externe ou interne ? ». Vous découvrez la réponse à une autre question souvent posée : faut-il internaliser ou externaliser la fonction de DPO ?

Comment mettre en conformité son entreprise au RGPD ?

La CNIL devient de plus en plus sévère vis-à-vis des entreprises ne respectant pas leurs obligations en matière de protection des données personnelles. Vous n’avez pas encore entrepris de démarche de mise en conformité ? Vous ne devez plus repousser le moment de le faire ! Voici, en résumé, les quatre grandes étapes générales d’un projet de mise en conformité au RGPD :

  • Etape 1 – Vous devez recenser l’ensemble des données à disposition de votre système d’information, qualifier les usages que vous en faites et leur lieu de stockage. Ce travail prend la forme d’une cartographie des données et des traitements. Vous pouvez vous aider pour cela de Logiciels RGPD.
  • Etape 2 – Vous devez analyser les écarts entre votre pratique actuelle en matière de gestion des données et les règles & obligations fixées par le RGPD. C’est la phase du diagnostic.
  • Etape 3 – Sur la base du diagnostic, vous devez construire un plan d’actions et ordonnancer les chantiers de travail en priorisant les actions les plus urgentes (par exemple : la refonte de vos formulaires web).
  • Etape 4La quatrième et dernière consiste à déployer de manière progressive le plan d’actions.

Les contrôles de la CNIL et les sanctions en cas de non-conformité

La Commission nationale de l’informatique et des libertés – la CNIL – est en France l’autorité administrative chargée de veiller à la bonne application du règlement RGPD. Pour en savoir plus sur cette institution, découvrez notre article : « Protection des données personnelles : Quelles sont les missions de la CNIL ? ».

Pour vérifier que les entreprises respectent leurs obligations, la CNIL peut exercer des contrôles. Les contrôles peuvent prendre plusieurs formes. On distingue les contrôles sur place, les contrôles sur audition, les contrôles en ligne et les contrôles sur pièces. La CNIL est particulièrement vigilante sur les 3 points suivants :

Suite à un contrôle et en cas de manquement à certaines obligations, la CNIL envoie à l’entreprise un courrier de mise en demeure. Celui-ci contient une liste des actions à mettre en œuvre et un délai maximum d’exécution. Si les actions ne sont pas réalisées dans les délais, la CNIL peut infliger des sanctions pécuniaires pouvant atteindre jusqu’à 4% du chiffre d’affaires mondial de l’entreprise – ou bien 20 millions d’euros.

Ce sont des amendes considérables qui peuvent mettre en péril la survie même de l’entreprise. D’où l’importance, une nouvelle fois, de mettre en conformité votre entreprise. Vous pouvez vous faire accompagner dans cette démarche par un DPO ou bien un avocat RGPD.

Pour en savoir plus sur les contrôles de la CNIL et les risques en cas de manquement au RGPD, découvrez notre guide complet dédié à ce sujet : « RGPD – L’essentiel à savoir sur les contrôles & sanctions de la CNIL ».

Trouver un DPO
Vous êtes à la recherche d'un "Data protection officer" ?

Sommaire : règlement général sur la protection des données

CHAPITRE I – Dispositions générales

Article premier – Objet et objectifs
Article 2 – Champ d’application matériel
Article 3 – Champ d’application territorial
Article 4 – Définitions

CHAPITRE II – Principes

Article 5 – Principes relatifs au traitement des données à caractère personnel
Article 6- Licéité du traitement
Article 7 – Conditions applicables au consentement
Article 8 – Conditions applicables au consentement des enfants en ce qui concerne les services de la société de l’information
Article 9 – Traitement portant sur des catégories particulières de données à caractère personnel
Article 10 – Traitement des données à caractère personnel relatives aux condamnations pénales et aux infractions
Article 11 – Traitement ne nécessitant pas l’identification

CHAPITRE III – Droits de la personne concernée

Section 1 – Transparence et modalités

Article 12 – Transparence des informations et des communications et modalités de l’exercice des droits de la personne concernée

Section 2 – Information et accès aux données à caractère personnel

Article 13 – Informations à fournir lorsque des données à caractère personnel sont collectées auprès de la personne concernée
Article 14 – Informations à fournir lorsque les données à caractère personnel n’ont pas été collectées auprès de la personne concernée
Article 15 – Droit d’accès de la personne concernée

Section 3 – Rectification et effacement

Article 16 – Droit de rectification
Article 17 – Droit à l’effacement («droit à l’oubli»)
Article 18 – Droit à la limitation du traitement
Article 19 – Obligation de notification en ce qui concerne la rectification ou l’effacement de données à caractère personnel ou la limitation du traitement
Article 20 – Droit à la portabilité des données

Section 4 – Droit d’opposition et prise de décision individuelle automatisée

Article 21 – Droit d’opposition
Article 22 – Décision individuelle automatisée, y compris le profilage

Section 5 – Limitations

Article 23 – Limitations

CHAPITRE IV – Responsable du traitement et sous-traitant

Section 1 – Obligations générales

Article 24 – Responsabilité du responsable du traitement
Article 25 – Protection des données dès la conception et protection des données par défaut
Article 26 – Responsables conjoints du traitement
Article 27 – Représentants des responsables du traitement ou des sous-traitants qui ne sont pas établis dans l’Union.
Article 28 – Sous-traitant
Article 29 – Traitement effectué sous l’autorité du responsable du traitement ou du sous-traitant
Article 30 – Registre des activités de traitement
Article 31 – Coopération avec l’autorité de contrôle

Section 2 – Sécurité des données à caractère personnel

Article 32 – Sécurité du traitement
Article 33 – Notification à l’autorité de contrôle d’une violation de données à caractère personnel
Article 34 – Communication à la personne concernée d’une violation de données à caractère personnel

Section 3 – Analyse d’impact relative à la protection des donnés et consultation préalable

Article 35 – Analyse d’impact relative à la protection des données
Article 36 – Consultation préalable

Section 4 – Délégué à la protection des données

Article 37 – Désignation du délégué à la protection des données
Article 38 – Fonction du délégué à la protection des données
Article 39 – Missions du délégué à la protection des données

Section 5 – Codes de conduite et certification

Article 40 – Codes de conduite
Article 41 – Suivi des codes de conduite approuvés
Article 42 – Certification
Article 43 – Organismes de certification

CHAPITRE V – Transferts de données à caractère personnel vers des pays tiers ou à des organisations internationales

Article 44 – Principe général applicable aux transferts
Article 45 – Transferts fondés sur une décision d’adéquation
Article 46 – Transferts moyennant des garanties appropriées
Article 47 – Règles d’entreprise contraignantes
Article 48 – Transferts ou divulgations non autorisés par le droit de l’Union
Article 49 – Dérogations pour des situations particulières
Article 50 – Coopération internationale dans le domaine de la protection des données à caractère personnel

CHAPITRE VI – Autorités de contrôle indépendantes

Section 1 – Statut d’indépendance

Article 51 – Autorité de contrôle
Article 52 – Indépendance
Article 53 – Conditions générales applicables aux membres de l’autorité de contrôle
Article 54 – Règles relatives à l’établissement de l’autorité de contrôle

Section 2 – Compétence, missions et pouvoirs

Article 55 – Compétence
Article 56 – Compétence de l’autorité de contrôle chef de file
Article 57 – Missions
Article 58 – Pouvoirs
Article 59 – Rapports d’activité

CHAPITRE VII – Coopération et cohérence

Section 1 – Coopération

Article 60 – Coopération entre l’autorité de contrôle chef de file et les autres autorités de contrôle concernées
Article 61 – Assistance mutuelle
Article 62 – Opérations conjointes des autorités de contrôle

Section 2 – Cohérence

Article 63 – Mécanisme de contrôle de la cohérence
Article 64 – Avis du comité
Article 65 – Règlement des litiges par le comité
Article 66 – Procédure d’urgence
Article 67 – Échange d’informations

Section 3 – Comité européen de la protection des données

Article 68 – Comité européen de la protection des données
Article 69 – Indépendance
Article 70 – Missions du comité
Article 71 – Rapports
Article 72 – Procédure
Article 73 – Président
Article 74 – Missions du président
Article 75 – Secrétariat
Article 76 – Confidentialité

CHAPITRE VIII – Voies de recours, responsabilité et sanctions

Article 77 – Droit d’introduire une réclamation auprès d’une autorité de contrôle
Article 78 – Droit à un recours juridictionnel effectif contre une autorité de contrôle
Article 79 – Droit à un recours juridictionnel effectif contre un responsable du traitement ou un sous-traitant
Article 80 – Représentation des personnes concernées
Article 81 – Suspension d’une action
Article 82 – Droit à réparation et responsabilité
Article 83 – Conditions générales pour imposer des amendes administratives
Article 84 – Sanctions

CHAPITRE IX –  Dispositions relatives à des situations particulières de traitement

Article 85 –  Traitement et liberté d’expression et d’information
Article 86 – Traitement et accès du public aux documents officiels
Article 87 – Traitement du numéro d’identification national
Article 88 – Traitement de données dans le cadre des relations de travail
Article 89 – Garanties et dérogations applicables au traitement à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques
Article 90 – Obligations de secret
Article 91 – Règles existantes des églises et associations religieuses en matière de protection des données

CHAPITRE X – Actes délégués et actes d’exécution

Article 92 – Exercice de la délégation
Article 93 – Comité

CHAPITRE XI – Dispositions finales

Article 94 – Abrogation de la directive 95/46/CE
Article 95 – Relation avec la directive 2002/58/CE
Article 96 – Relation avec les accords conclus antérieurement
Article 97 – Rapports de la Commission.
Article 98 – Réexamen d’autres actes juridiques de l’Union relatifs à la protection des données
Article 99 – Entrée en vigueur et application

FAQ : Divorce, droit de la famille

Lorem ipsum dolor sit amet, consectetur adipiscing elit. Ut elit tellus, luctus nec ullamcorper mattis, pulvinar dapibus leo.

Il n’est pas toujours simple de s’y retrouver dans la jungle des professions juridiques. Conscient de ce problème, nous avons créé Monexpertdudroit.com pour vous aider à trouver professionnel du droit dont vous avez besoin.

Lorem ipsum dolor sit amet, consectetur adipiscing elit. Ut elit tellus, luctus nec ullamcorper mattis, pulvinar dapibus leo.
Lorem ipsum dolor sit amet, consectetur adipiscing elit. Ut elit tellus, luctus nec ullamcorper mattis, pulvinar dapibus leo.