Le Règlement Général sur la Protection des Données (RGPD)

Classé dans : Tendances | 0

Le Règlement Général sur la Protection des Données – RGPD (ou GDPR -General Data Protection Regulation – en anglais) – est un texte de l’Union Européenne adopté en avril 2016 incitant les organisations et les entreprises à mettre en place des règles spécifiques à l’exploitation des données personnelles des individus. Il entrera en vigueur le 25 mai 2018. Cette réforme poursuit trois objectifs :

  • Renforcer les droits des personnes, notamment par la création d’un droit à la portabilité des données personnelles et de dispositions propres aux personnes mineures ;
  • Responsabiliser les acteurs traitant des données (responsables de traitement et sous-traitants) ;
  • Crédibiliser la régulation grâce à une coopération renforcée entre les autorités de protection des données, qui pourront notamment adopter des décisions communes lorsque les traitements de données seront transnationaux et des sanctions renforcées.

Qu’est-ce qu’une donnée personnelle ? Selon l’article 2, « Constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres …. ». Cette définition inclut bien sûr le nom d’un individu, son numéro de sécurité sociale, son courriel, mais aussi sa date de naissance, un numéro de carte bleue ou même une adresse IP (même si ça n’est pas une IP fixe).

La plupart des entreprises (publiques notamment) devront notamment nommer un Délégué à la Protection des Données (DPO), dont la mission est totalement indépendante de la direction de l’entreprise, et qui peut également être externe à celle-ci (prestataire). Il est à noter que le fait d’avoir un DPO en interne peut cependant générer des conflits d’intérêts, et que les responsables de traitement et sous-traitants sont nécessairement des tiers extérieurs à l’entreprise.

Un registre des données est obligatoire pour toute entreprise de plus de 250 personnes. Pour les entreprises de taille inférieure, l’obligation peut être liée à d’autres critères, par exemple la fréquence d’utilisation des données personnelles (usage occasionnel ou non) ou le risque lié à leur traitement. Ce registre des données n’est pas simple à établir, notamment en raison du fait que les offres Cloud répartissent leur localisation un peu partout dans le monde. Il faudra alors s’appuyer sur les contrats des fournisseurs du Cloud.

Par ailleurs, l’utilisation de ces données devra avoir préalablement été définie et déclarée ; c’est la déclaration de finalité, qui doit expliciter les objectifs retenus (gestion du recrutement, gestion de la clientèle, enquête de satisfaction, etc.)

Le RGPD est un règlement, qui fera vraisemblablement l’objet d’une transposition en droit national. Le texte s’appliquera le 28 mai 2018 pour l’ensemble des 28 pays de l’UE. Jusqu’à cette date, c’est le texte de 1978 qui s’applique en France.

Marc SALIOU M. Saliou