Le Règlement général sur la protection des données* (RGPD) est entré en vigueur, dans tous les pays de l’Union européenne, le 25 mai 2018 et a été renforcé en avril 2021. Il remplace la Directive sur la protection des données personnelles adoptée en 1995.
* Règlement 2016/679 du Parlement et du Conseil européens du 27 avril 2016.
À qui s'adresse le RGPD ?
Ce règlement s’adresse à l’ensemble des entreprises établies dans l’Union européenne (UE) ou aux entreprises dont les activités de traitement sont liées à l’offre de biens ou de services dans l’UE, ainsi qu’à leurs soustraitants, dès lors qu’ils collectent et traitent des données visant des résidents européens.
Qu'est-ce qu'une donnée à caractère personnel ?
Aux termes de l’article 4.1 du RGPD, on entend par « données à caractère personnel », toute information se rapportant à une personne physique identifiée ou identifiable. Une « personne physique identifiable » est une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.
Qu'est-ce qu'un traitement de données personnelles ?
Un « traitement de données personnelles » est une opération, ou un ensemble d’opérations, portant sur des données personnelles, quel que soit le procédé utilisé (collecte, enregistrement, organisation, conservation, adaptation, modification, extraction, consultation, utilisation, communication par transmission, diffusion ou toute autre forme de mise à disposition, rapprochement).
Exemples de traitement : la tenue d’un fichier de ses clients, la collecte de coordonnées de prospects via un questionnaire, la mise à jour d’un fichier de fournisseurs, etc.
Un traitement de données personnelles n’est pas nécessairement informatisé : les fichiers papier sont également concernés et doivent être protégés dans les mêmes conditions.
À chaque traitement de données doit être assigné un objectif, qui doit bien évidemment être légal et légitime au regard de votre activité professionnelle.
Exemple : vous collectez sur vos clients de nombreuses informations : lorsque vous effectuez une livraison, éditez une facture ou proposez une carte de fidélité. Toutes ces opérations sur ces données constituent votre traitement de données personnelles ayant pour objectif la gestion de votre clientèle.
Comment mettre en oeuvre le RGPD ?
Pour être en conformité avec le RGPD, les entreprises doivent :
• Réaliser l’inventaire des traitements de données personnelles,
• Évaluer leurs pratiques et mettre en place des procédures (notification des violations de données, gestion des réclamations et des plaintes, etc),
• Identifier les risques associés aux opérations de traitement et prendre les mesures nécessaires à leur prévention,
• Maintenir une documentation assurant la traçabilité des mesures.
À quoi sert la fonction de délégué à la protection des données (DPO) ?
Le RGPD rend obligatoire la nomination d’un DPO dans les organismes privés ou publics dont « les activités de base exigent un suivi régulier et systématique à grande échelle des personnes concernées » ou lorsque « le traitement est effectué par une autorité publique ou un organisme public », à l’exception des juridictions. Le rôle du DPO est, d’une part, de garantir la conformité des traitements de données avec les principes de protection de la sphère privée, tels que fixés par le RGPD, et, d’autre part, de gérer les relations entre les personnes concernées (employés, clients) et les autorités de contrôle.
Quelles sont les sanctions encourues en cas de non-respect du RGPD ?
Plan stratégique 2022-2024
Les orientations stratégiques de la CNIL pour la période de 2022 à 2024 se déclinent en 3 axes prioritaires :
• Favoriser la maîtrise et le respect des personnes sur le terrain,
• Promouvoir le RGPD comme atout de la confiance pour les organismes,
• Prioriser des actions de régulations ciblées sur des sujets à fort enjeu pour la vie privée.
Source : Guide du chef d'entreprise 2023 - ATH
