C'est quoi le RGPD en résumé ? [2020]

C’est quoi le RGPD en résumé ? [2020]

RGPD : Définition, résumé et rôle de la cnil

La signification la plus clair que l’on puisse donné au RGPD, est lRèglement sur la protection des données générales. 

Qu’est-ce-que le RGPD?

Le sigle RGPD signifie règlement général pour la protection des données personnelles. En anglais, le sigle est GDPR pour general data protection regulation. Il désigne le nouveau texte de référence européen en matière de protection des données personnelles. Il a été conçu pour adapter et moderniser la législation et harmoniser le cadre juridique européen dans ce domaine. Toutes les entreprises, organismes publics et associations des 28 Etats membres de l’Union européenne qui collectent des données à caractère personnel sur les résidents européens sont concernés. Les organisations issues de pays en dehors de l’UE sont aussi concernées si elles collectent et traitent des données personnelles de résidents européens. A titre d’exemple, les Gafa, Uber, Airbnb et autres sont donc également soumis au règlement.

Résumé du RGPD en quatre points

Du RGPD se dégage quatre principes clés : le consentement, la transparence, le droit des personnes et la responsabilité (accountability).

  1. Le consentement. L’article 7 stipule que « le consentement devrait être donné par un acte positif clair par lequel la personne concernée manifeste de façon libre, spécifique, éclairée et univoque son accord au traitement des données à caractère personnel la concernant, par exemple au moyen d’une déclaration écrite, y compris par voie électronique, ou d’une déclaration orale. » Le consentement peut être retiré à tout moment par les personnes le demandant. Pour les entreprises à caractère BtoB, la collecte du consentement n’est pas obligatoire si la finalité de la collecte est bien respectée (les cases pré-cochées sont autorisées).
  2. La transparence. Comme il est précisé dans l’article 12 du RGPD, les organisations doivent fournir aux individus des informations claires et sans ambiguïté sur la façon dont sont traitées leurs données. Celles-ci doivent être accessibles par tous, via des documents contractuels, des formulaires de collecte ou les pages « privacy » des sites web.
  3. Le droit des personnes. De nouveaux droits sont apparus dans le règlement comme le droit à l’oubli pour tous les utilisateurs. Les organisations n’ont plus qu’un mois (au lieu de deux) pour supprimer les données suite à une demande. Le droit à la portabilité des données est aussi une nouveauté. Il permet à un individu de récupérer les informations qu’il a fournies sous une forme réutilisable pour, le cas échéant, les transférer à un tiers.
  4. Le principe de responsabilité (accountability). Il regroupe toutes les mesures qui visent à responsabiliser davantage les entreprises dans le traitement des données à caractère personnel. Les organismes doivent par exemple mettre en place des mesures adéquates pour garantir la sécurité des données. Elles doivent également appliquer le « privacy by design », un concept qui impose de réfléchir à la protection des données personnelles en amont de la conception  d’un produit ou d’un service. Elles doivent aussi choisir des sous-traitants qui soient conformes au RGPD ou encore désigner un data protection officer (DPO), chargé de contrôler la conformité de l’organisme avec le RGPD.

 

Qu’en est-il du rôle de la CNIL?

Comme auparavant, la Cnil procède à des vérifications dans les locaux des organisations ou en ligne. Les contrôles sont effectués sur la base d’un programme annuel, des plaintes reçues par la Cnil, ou encore des informations présentes dans les médias. Ils peuvent également faire suite à un précédent contrôle. Etant donné que les principes fondamentaux de la protection des données restent globalement inchangés (sécurité des données, loyauté du traitement, durée de conservation…), ils continuent donc à faire l’objet de vérifications rigoureuses de la part de la Cnil.

En revanche, les nouvelles obligations et les nouveaux droits résultant du RGPD (droit à la portabilité, analyses d’impact…) font l’objet de contrôles. Mais ils sont pour l’instant non punitifs. Le Conseil d’État autorise la Cnil à laisser faire jusqu’à mi-2020. L’objectif est d’aider les organismes à bien comprendre les enjeux et la mise en œuvre opérationnelle des nouvelles dispositions. Autre nouveauté à noter, les contrôles effectués sur les acteurs internationaux sont réalisés par plusieurs organismes afin de rendre une décision à portée européenne.

 

 

Laisser un Commentaire