RGPD: Définition, utilité et principes

Le Règlement général sur la protection des données (RGPD) est une législation qui a mis à jour et unifié les lois sur la confidentialité des données dans toute l’Union européenne (UE). Le RGPD a été approuvé par le Parlement européen le 14 avril 2016 et est entré en vigueur le 25 mai 2018. La nouvelle directive vise à rendre les entreprises plus transparentes et à étendre les droits à la vie privée des personnes concernées. Le RGPD définit également des sanctions en cas de non-conformité. À quoi sert réellement le RGPD ? Et en quoi est-il nécessaire ? Nous vous dirons plus sur le RGPD dans cet article.

A quoi sert le RGPD ?

Le but du RGPD est de protéger les individus et les données qui les décrivent et de s’assurer que les organisations qui collectent ces données le font de manière responsable. Le RGPD exige également que les données personnelles soient conservées en toute sécurité. En partie, le règlement stipule que les données personnelles doivent être protégées contre « le traitement non autorisé ou illégal, et contre la perte, la destruction ou les dommages accidentels« .

Les motifs de collecte des données personnelles sont également définis dans le RGPD. Les données collectées doivent l’être dans un but précis et légitime et ne doivent en aucun cas être utilisées au-delà de cette intention. Le règlement suggère également des limites sur la quantité de données collectées, indiquant que la collecte de données doit être « limitée à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées« .

Quelles données le RGPD protège-t-il ?

Les utilisateurs doivent donner leur accord aux organisations qui souhaiter les informations personnelles. Selon la définition du RGPD, les données personnelles sont des informations relatives à « une personne physique identifiée ou identifiable« , appelée « personne concernée« . Les données personnelles peuvent inclure ces types d’informations :

• Nom
• Numéro d’identification
• Données de localisation
• Toute information spécifique à « l’identité physique, physiologique, génétique, mentale, économique, culturelle ou sociale de cette personne physique »
• Données biométriques acquises par le biais d’une forme de processus technique, comme l’imagerie faciale ou la prise d’empreintes digitales
• Informations relatives à la santé ou aux soins de santé d’une personne.

À cette liste s’ajoutent les Informations raciales ou ethniques d’un individu, Opinions politiques ou croyances religieuses, et l’Adhésion syndicale

Les 6 conditions de traitement des informations personnelles identifiables

En vertu du RGPD, les entreprises ne peuvent pas traiter légalement les informations personnelles identifiables d’une personne sans remplir au moins l’une des six conditions suivantes.

1. Consentement exprès de la personne concernée.
2. Exécution d’un contrat avec la personne concernée ou à la prise de mesures pour conclure un contrat.
3. Le respect d’une obligation légale.
4. Protéger les intérêts vitaux d’une personne concernée ou d’une autre personne.
5. L’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement.
6. Le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, sauf si ces intérêts prévalent sur les intérêts, droits ou libertés de la personne concernée.

En outre, les entreprises qui effectuent des traitements de données ou surveillent les personnes concernées doivent nommer un délégué à la protection des données (DPO). Si une entreprise ne se conforme pas au RGPD, les conséquences juridiques peuvent inclure des amendes pouvant aller jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires mondial annuel.

Qui est soumis à la conformité RGPD ?

Toutes les organisations qui collectent des données personnelles de tout citoyen d’un État membre de l’UE doivent se conformer au RGPD. Cela inclut les organisations qui résident en dehors de l’Union. Le GPD définit trois rôles différents liés aux données personnelles :

1. Personne concernée. Propriétaire des données personnelles.
2. Contrôleur de données. La personne ou l’organisation qui détermine quelles données personnelles collecter et comment elles seront utilisées.
3. Processeurs de données. La personne ou l’organisation qui traite les données personnelles pour le responsable du traitement.

La réglementation s’applique quel que soit le mode de collecte des données personnelles.

Les 7 principes du RGPD

Le RGPD énonce sept principes de base sur lesquels il fonde sa réglementation et ses règles de conformité liées aux données personnelles :

1. Licéité, équité et transparence. La personne concernée doit être clairement informée de la manière dont ses données seront utilisées.
2. Limitation de la finalité. Les données ne peuvent être collectées qu’à des fins spécifiques.
3. Minimisation des données. La quantité de données collectées est limitée à ce qui est nécessaire à un traitement spécifique.
4. Les organisations qui collectent des données doivent s’assurer de leur exactitude et les mettre à jour si nécessaire. Les données doivent être supprimées ou modifiées lorsqu’une personne concernée fait une telle demande.
5. Limite de stockage. Les données collectées ne seront pas conservées plus longtemps que nécessaire.
6. Intégrité et confidentialité. Des mesures de protection appropriées doivent être appliquées aux données personnelles pour s’assurer qu’elles sont sécurisées et protégées contre le vol ou l’utilisation non autorisée.
7. Les collecteurs de données sont chargés de veiller au respect du RGPD.

Le RGPD accorde des droits aux individus pour sonder les organisations, poser des questions et pour exiger que leurs données soient effacées, transférées ou rectifiées. Il rends les organisations responsables des données personnelles collectées.