RGPD ou GDPR : Le Guide complet

Qu’est-ce que le RGPD ? [Définition simple]

Le RGPD est le Règlement Général sur la Protection des Données. Il s’agit du texte juridique qui encadre le traitement des données à caractère personnel au niveau de l’Union européenne. L’objectif de ce règlement est d’offrir aux citoyens européens un niveau élevé de protection de leurs données personnelles et d’harmoniser la législation au niveau européen.

Toute entreprise qui stocke, manipule et traite des données personnelles de résidents européens est soumise aux règles du RGPD. Les autres organisations (associations, administrations, fondations…) sont tout autant concernées.

Le RGPD est en vigueur depuis mai 2018. En France, les dispositions contenues dans le RGPD ont été transposées dans la Loi Informatique & Libertés (datant de 1978 et mise à jour en 2019).

Toute entreprise ou organisation qui n’est pas conforme au RGPD encourt une amende pouvant aller jusqu’à 20 millions d’euros ou jusqu’à 4% du chiffre d’affaires mondial.

En France, la CNIL veille à la bonne application du RGPD par les acteurs économiques. 

Le règlement RGPD sur la protection des données personnelles impose de nouvelles obligations pour les entreprises

Le RGPD renforce les obligations des entreprises faisant du traitement de données à caractère personnel (DCP) – il concerne par conséquent pratiquement toutes les entreprises !

Voici les principales obligations pour les entreprises :

• Au moment de la collecte de données, les entreprises doivent obtenir le consentement clair et explicite des personnes concernées. Les entreprises doivent être transparentes sur l’utilisation qu’elles comptent faire des données collectées. Si les règles sont plus souples en B2B, la collecte de données sur des particuliers devient très encadrée. Le recueil du consentement au moment de la collecte concerne également les cookies (considérés par le législateur européen comme des données personnelles). Découvrez à ce sujet notre guide complet RGPD & Cookies. Si vous utilisez un site WordPress, découvrez notre guide RGPD & WordPress.
• Les entreprises doivent garantir l’exercice des droits des personnes, via des procédures et des outils appropriés. Voici quelques exemples de droits consacrés ou renforcés par le RGPD : le droit d’accès, le droit à l’oubli, le droit de rectification, le droit à la limitation des traitements, le droit à la portabilité…
• Les entreprises doivent mettre en place les mesures organisationnelles et techniques assurant un niveau optimal de sécurisation des données stockées. En cas de fuite de données, c’est l’entreprise qui est responsable. Voici quelques exemples de mesures de sécurité : analyses d’impact, cryptage des données, pseudonymisation, tests d’intrusion…
• Toutes les entreprises faisant du traitement de DCP doivent tenir un registre recensant l’ensemble des traitements réalisés. Il doit être régulièrement mis à jour.
• Certaines entreprises ont pour obligation de désigner un Data Protection Officer – DPO (voir section suivante).

Pour aller plus loin, découvrez notre guide complet sur le sujet : RGPD  – Quelles sont les nouvelles obligations pour les entreprises ?

Quel est le rôle du Data Protection Officer ? La désignation d’un DPO est-elle obligatoire ?

Ce sont peut-être des questions que vous vous posez en tant qu’entreprise. Devez-vous recruter un DPO ? Rappelons pour commencer que DPO est l’acronyme de Data Protection Officer. On parle parfois aussi de « Délégué à la Protection des Données ».

Le DPO un rôle de chef d’orchestre. En phase de mise en conformité au RGPD (audit RGPD, certification RGPD), il pilote le projet. Par la suite, le DPO joue le rôle d’interlocuteur entre votre entreprise (en particulier, les responsables des traitements de données) et l’autorité de contrôle (la CNIL). Il veille en permanence à la bonne application par l’entreprise de ses obligations en matière de gestion des données personnelles.

L’article 37 du RGPD précise les cas où le DPO est obligatoire. En synthèse, la désignation d’un Data Protection Officer est obligatoire :

• Pour les organismes publics – à l’exception des tribunaux. Par exemple : l’Etat, les collectivités territoriales, les établissements publics.
• Pour les entreprises dont l’activité de base implique un suivi régulier et systématique des personnes concernées par les traitements.
• Pour les entreprises traitant « à grande échelle » des données sensibles.

Cet article 37 fait l’objet de beaucoup de débats, en raison des zones de flou qu’il contient (notamment la notion de « à grande échelle »). Si vous n’êtes pas sûr de savoir si vous faites partie ou non des entreprises visées par l’article 37, nous vous invitons à entrer en contact avec l’un de nos experts juridiques en utilisant le formulaire du site.

Quoiqu’il en soit, il peut faire sens de désigner un Data Protection Officer même si votre entreprise n’y est pas obligée. Pour en savoir plus sur ce sujet, découvrez notre guide complet : « Le DPO : Est-il obligatoire ? Comment trouver le vôtre ? Externe ou interne ? ». Vous découvrez la réponse à une autre question souvent posée : faut-il internaliser ou externaliser la fonction de DPO ?

Comment mettre en conformité son entreprise au RGPD ?

La CNIL devient de plus en plus sévère vis-à-vis des entreprises ne respectant pas leurs obligations en matière de protection des données personnelles. Vous n’avez pas encore entrepris de démarche de mise en conformité ? Vous ne devez plus repousser le moment de le faire ! Voici, en résumé, les quatre grandes étapes générales d’un projet de mise en conformité au RGPD :

• Etape 1 – Vous devez recenser l’ensemble des données à disposition de votre système d’information, qualifier les usages que vous en faites et leur lieu de stockage. Ce travail prend la forme d’une cartographie des données et des traitements. Vous pouvez vous aider pour cela de Logiciels RGPD.
• Etape 2 – Vous devez analyser les écarts entre votre pratique actuelle en matière de gestion des données et les règles & obligations fixées par le RGPD. C’est la phase du diagnostic.
• Etape 3 – Sur la base du diagnostic, vous devez construire un plan d’actions et ordonnancer les chantiers de travail en priorisant les actions les plus urgentes (par exemple : la refonte de vos formulaires web).
• Etape 4 – La quatrième et dernière consiste à déployer de manière progressive le plan d’actions.

Les contrôles de la CNIL et les sanctions en cas de non-conformité

La Commission nationale de l’informatique et des libertés – la CNIL – est en France l’autorité administrative chargée de veiller à la bonne application du règlement RGPD. Pour en savoir plus sur cette institution, découvrez notre article : « Protection des données personnelles : Quelles sont les missions de la CNIL ? ».

Pour vérifier que les entreprises respectent leurs obligations, la CNIL peut exercer des contrôles. Les contrôles peuvent prendre plusieurs formes. On distingue les contrôles sur place, les contrôles sur audition, les contrôles en ligne et les contrôles sur pièces. La CNIL est particulièrement vigilante sur les 3 points suivants :

• Le respect par les entreprises des droits des personnes.
• Les traitements sur des données « sensibles » – et tout particulièrement les données sur des individus mineurs.
• Les relations entre les responsables des traitements et les sous-traitants.

Suite à un contrôle et en cas de manquement à certaines obligations, la CNIL envoie à l’entreprise un courrier de mise en demeure. Celui-ci contient une liste des actions à mettre en œuvre et un délai maximum d’exécution. Si les actions ne sont pas réalisées dans les délais, la CNIL peut infliger des sanctions pécuniaires pouvant atteindre jusqu’à 4% du chiffre d’affaires mondial de l’entreprise – ou bien 20 millions d’euros.

Ce sont des amendes considérables qui peuvent mettre en péril la survie même de l’entreprise. D’où l’importance, une nouvelle fois, de mettre en conformité votre entreprise. Vous pouvez vous faire accompagner dans cette démarche par un DPO ou bien un avocat RGPD.

Pour en savoir plus sur les contrôles de la CNIL et les risques en cas de manquement au RGPD, découvrez notre guide complet dédié à ce sujet : « RGPD – L’essentiel à savoir sur les contrôles & sanctions de la CNIL ».

Transfert de données hors UE : liste des pays bénéficiant d’une décision d’adéquation

Le RGPD prévoit la possibilité pour les responsables de traitement et les sous-traitants d’organiser des transferts de données personnelles en dehors de l’Union Européenne, vers des pays non soumis au RGPD.

Ces pays n’offrent pas des mesures de protection des données appropriées ou équivalentes à celles garanties par le RGPD. Ces transferts restent possibles, mais seulement dans certains cas.

L’un de ces cas est une décision d’adéquation. L’article 45 du RGPD précise ce qu’est une décision d’adéquation : c’est une reconnaissance par la Commission européenne  que le niveau de protection accordé aux données personnelles est adéquat, et qui permet donc le transfert de données.

Cette décision de la Commission Européenne est basée sur plusieurs facteurs. Pour découvrir la liste des éléments sur lesquelles se base la Commission Européenne pour définir le niveau adéquat de protection des données, cliquez ici.

Découvrez la liste des pays bénéficiant d’une décision d’adéquation, et donc vers lesquelles les transfert de données personnelles sont autorisés !

Liste des pays bénéficiant d’une décision d’adéquation :

• Pays soumis au RGPD / bénéficiant d’une décision d’adéquation
• Pays nous soumis au RGPD / ne bénéficiant pas de décision d’adéquation

Liste des pays

1. Andorre ;
2. Argentine ;
3. Canada* ;
4. Corée du Sud ;
5. Îles Féroé ;
6. Guernesey ;
7. Israël ;
8. Île de Man ;
9. Japon ;
10. Jersey ;
11. Nouvelle-Zélande ;
12. Royaume-Uni ;
13. Suisse ;
14. Uruguay

* Pour certains traitements seulement, soumis à la loi canadienne « Personal Information Protection and Electronic Documentation Act ».