Le RGPD : définition et objectifs
Le RGPD (Règlement général sur la protection des données) est un texte Européen instaurant une réglementation sur l’usage des données personnelles afin d’instaurer une meilleure protection des citoyens. Il est entré en vigueur le 25 mai 2018. Pour bien comprendre de quoi il s’agit revenons sur sa définition et ses principaux objectifs. Qu’est-ce que le RGPD ? Qui est concerné ? Quelles sanctions ?
1- Règlement général sur la protection des données : une définition
La donnée personnelle : qu’est-ce c’est ?
L’article 4 du RGPD (Règlement général sur la protection des données) en donne la définition suivante : Une « donnée personnelle » est « toute information se rapportant à une personne physique identifiée ou identifiable ».
Il poursuit en définissant la personne physique identifiable concernée : «une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale ».
La personne physique peut-être identifiée directement ou indirectement :
- Directement : via son identité (nom, prénom)
- indirectement : par un identifiant, un numéro de téléhpone, une donnée biométrique, ou des éléments inhérents à son identité physique, génétique, économique, ou encore culturelle.
Avec l’avènement du big data, les bases de données (marketing, santé etc) stockent de nombreuses informations parfois sensibles sur les personnes concernant leur identité, leur situation géographique, leur santé, leur numéro de sécurité sociale voire mêmes des données concernant leurs opinions politiques ou leurs orientations sexuelles. Ces bases de données sont considérées comme un traitement de données personnelles car il est possible de retrouver une personne physique grâce à ces informations même en l’absence de données d’identité.
Ce qui nous amène à examiner la définition du traitement des données.
Le traitement des données : qu’est-ce c’est ?
L’article 4 du RGPD poursuit en donnant la définition suivante du traitement des données : il s’agit de « toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, la limitation, l'effacement ou la destruction ».
Concrètement, un traitement de données peut-être un fichier client comportant les données des clients, l’ensemble des factures et des devis, les données de livraison, ou encore un logiciel (CRM, paie, facturation) etc. Attention : ne sont concernées que les personnes physiques. Un fichier comportant uniquement des coordonnées d’entreprise n’est pas considéré comme un « traitement de données ».
Or, le RGPD a vocation à édicter des règles visant à protéger la donnée personnelle lors du traitement des données.
RGPD : cadre juridique du traitement des données
Le RGPD encadre le traitement des données personnelles sur le territoire de l’Union européenne. Ce texte vise à renforcer le contrôle par les citoyens de l’utilisation de leurs données personnelles.
En France, il s’inscrit dans la continuité de la loi française Informatique et Libertés de 1978. Au niveau européen, le RGPD abroge une directive sur la protection des données personnelles datant de 1995. Cette actualisation de la législation sur les données avait pour objectif de prendre en compte les évolutions technologiques.
De plus, parallèlement à l’élaboration du nouveau texte, la Cour de Justice de l’Union Européenne (CJCE) rendait deux arrêts essentiels :
- Arrêt de la Cour de Justice de l’Union Européenne du 13 mai 2014 : oblige Google (en particulier) à accéder à la requête des internautes Européens qui demandent le retrait de résultats internet les concernant. Cet arrêt entérine l’existence d’un droit au déréférencement sur les moteurs de recherche
- Arrêt de la Cour de Justice de l’Union Européenne du 6 octobre 2015 : conduit à l’invalidation du régime du « Safe Harbor » qui autorisait les entreprises américaines à importer les données personnelles des européens. Cette décision fait suite aux révélations d’’Edward Snowden, ancien analyste de la CIA devenu lanceur d’alerte, aujourd’hui réfugié en Russie, sur le programme PRISM. En effet, la NSA (organisme gouvernemental du département de la Défense des États-Unis) avait ainsi accès à ces données personnelles.
Le texte du RGPD a été définitivement adopté le 14 juin 2016 par le Parlement avant d’être promulgué au Journal officiel le 27 juin. Il n’est cependant entré en vigueur que le 25 mai 2018, soit deux ans plus tard, pour laisser le temps aux Etats Membres de transposer les dispositions dans leur droit national. En France, la loi sur la protection des données personnelles a été promulguée le jeudi 21 juin 2018.
Il harmonise les règles en Europe en offrant un cadre juridique unique aux professionnels. Il permet de développer leurs activités numériques au sein de l’UE en se fondant sur la confiance des utilisateurs.
2- Qui est concerné par le RGPD ?
Les organisations soumises au RGPD
Toute organisation publique ou privée opérant un traitement de données personnelles peuvent-être concernées si :
- L’entité est établie sur le territoire de l’Union Européenne : une entreprise établie en France qui exporte des produits à destination de la Chine sans viser le marché Français doit quand même se conformer au RGPD par exemple.
- OU si l’activité de l’entité cible directement des résidents européens : ceci implique qu’une entreprise étrangère qui traite des données personnelles de citoyens européens doit se conformer au RGPD. Par exemple : une entreprise Chinoise établie en Chine qui livre des produits en France. Les données de livraison doivent être traitées conformément au RGPD.
Attention : sont également concernés les sous-traitants qui réalisent des traitement de données pour le compte d’autres organisations. Le RGPD leur étant applicable, ces entreprises qui collectent des données pour le compte d’autres entités (entreprises, organismes publics etc) doivent garantir la protection de ces données.
Des sanctions possibles en cas de défaut de conformité
Dès lors, ces entreprises s’exposent à des sanctions si les données personnelles sont mal protégées.
Par exemple, récemment Instagram s’est vu infliger une amende record par l’autorité de régulation irlandaise (homologue de la CNIL Française) sur la base du non respect du RGPD. En effet, la filiale du groupe Meta aurait mal protégé des données appartenant à des enfants. Instagram autorise les inscriptions d’enfants à partir de 13 ans (des plus jeunes parviennent d’ailleurs à s’inscrire). Certains d’entre eux ont transformé leur compte en compte professionnel ce qui a eu pour effet de rendre leur données publiques. Les infractions portent sur la diffusion d’informations de contact sensibles, rendant vulnérables ces mineurs. 5 millions de compte de mineurs sont concernés et l’amende s’élève à 405 millions d’euros.
D’autres entreprises ont été épinglées pour des problèmes de non conformité avec le RGPD comme Amazon en Juillet 2021 (746 millions d’amende).
En France, avec le RGPD (Règlement Général sur la Protection des Données), les sanctions prononcées par la CNIL partent du simple rappel à l’ordre jusqu’à des amendes pouvant s'élever à 20 millions d'euros ou jusqu'à 4% du chiffre d'affaires annuel mondial pour les manquements les plus graves.
3- Quels sont les objectifs du RGPD ?
Le RGPD permet de mettre en place un cadre juridique unifié au sein de l’Union Européenne. 3 objectifs sont poursuivis par cette réglementation :
- Le renforcement du droit des personnes
- La responsabilisation des personnes responsables des traitements dans les organisations
- Une harmonisation de la législation sur la protection des données
Renforcement du droit des citoyens européens
L’un des objectifs du RGPD est de renforcer les droits des citoyens de l’Union Européenne. Il vise également à simplifier le cadre réglementaires pour les organisations. Comment ?
- « Mise à disposition d’une information claire, intelligible et aisément accessible aux personnes concernées par les traitements de données » : concrètement cela implique d’informer clairement les utilisateurs sur ce que les organisations comptent faire de leur données et de leur donner la possibilité d’accepter cet usage ou de le refuser. La charge de la preuve du consentement repose sur le responsable du traitement des données.
- Droit à la portabilité des données : ce droit permet aux personnes de récupérer les données fournies à une organisation pour les stocker ailleurs ou les transférer dans un autre système. L’objectif étant qu’elles puissent retrouver la maîtrise de leurs données.
- Renforcement du traitement des données des enfants : ces dispositions prévoient que l’information sur les traitements de données les concernant soit rédigée de manière à ce que l'enfant puisse les comprendre. Dans le cas d’un mineur, le consentement doit être recueilli auprès du titulaire de l’autorité parentale. L’âge retenu au niveau européen est 13 ans, la France a retenu l’âge de 15 ans. De plus, en France sont requis à la fois le consentement de l’autorité parentale mais aussi celui de l’enfant. D’où la condamnation d’Instagram (cf plus haut).
- Actions en justices : Le RGPD introduit le principe des actions collectives, c’est-à-dire que des associations oeuvrant pour la protection des droits et libertés des personnes peuvent introduire des recours collectifs au nom des personnes physiques. Dans le même temps, toute personne peut obtenir réparation du préjudice subi du fait d’une violation du RGPD par le responsable du traitement.
La responsabilisation des personnes responsables du traitement
Toujours dans l’article 4, le RGPD définit le responsable de traitement ainsi : il s’agit de la « personne physique ou morale, l'autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement ».
Les acteurs du traitement des données sont responsables de la conformité de celles-ci, sous le contrôle et avec l’accompagnement du régulateur. Ceci implique qu’ils doivent mettre en œuvre toutes les mesures nécessaires pour garantir la protection des données personnelles dès la conception du produit et par défaut (c’est ce que l’on appelle le « privacy by desing »). Cette protection passe par un principe de « minimisation », c’est-à-dire la limitation d’emblée du nombre de données à traiter.
Les acteurs de la données doivent faire preuve de transparence concernant les traitements de données et être en mesure de rendre des comptes au régulateur.
Une harmonisation de la législation sur la protection des données
Le troisième objectif du RGPD est de s’imposer comme LE texte de référence dans l’ensemble de l’Union Européenne en ce qui concerne la sécurité des données personnelles. Il vise à proposer à chaque citoyen de l’UE une protection similaire en gommant les différences de réglementation entre les différents Etats membres.
Le RGPD instaure également un « guichet unique ». Il s’agit de l’autorité de protection des données de l’État membre où se trouve l’établissement principal de l’organisation. Par exemple, pour les entreprises dont l’établissement principal est établi en France, le guichet unique est la CNIL (Commission nationale de l’informatique et des libertés).
Le processus mis en place par le RGPD permet aux autorités de protection des données d’exercer des contrôles à la suite de la réception de plaintes et se prononcer rapidement sur la conformité d’un traitement. Ce mécanisme doit permettre de garantir une plus grande sécurité juridique aux organisations.
Le RGPD vise donc à sécuriser juridiquement les entreprises et à renforcer la protection des données des résidents de l’UE.