Le Règlement général sur la protection des données (RGPD, également connu sous l’acronyme anglais GDPR pour General Data Protection Regulation) est un règlement de l’Union européenne (UE) qui établit un cadre juridique pour la protection des données à caractère personnel et la vie privée des individus au sein de l’Espace économique européen (EEE). Il est entré en vigueur le 25 mai 2018, remplaçant la directive 95/46/CE relative à la protection des données.

L’adoption du RGPD par le Parlement européen, le Conseil de l'Union européenne et la Commission européenne répond à la nécessité d’harmoniser les régulations nationales des États membres sur la protection des données personnelles. Le RGPD s’impose aussi bien aux entreprises qu’aux organismes publics, y compris les administrations publiques françaises et les collectivités territoriales.

Le texte prévoit un renforcement sensible des droits des personnes concernées et une responsabilisation accrue des responsables de traitement de données. Il introduit également le principe de protection des données dès la conception et la notion de responsabilité.

Les objectifs majeurs du RGPD sont :

• Harmonisation des règles sur la protection des données au sein de l’Europe.
• Renforcement des droits des individus.
• Responsabilisation des organisations traitant des données personnelles.
• Modernisation des principes établis en 1995.

Le RGPD s’applique :

• À toute entité établie dans l’UE, qu’il s’agisse d’un organisme public ou privé.
• À toute structure, même étrangère, qui traite des données personnelles de résidents de l’UE dans le cadre d’offres de biens ou services ou du suivi de leur comportement.
• Aux sous-traitants et prestataires impliqués dans le traitement.

Son application s’étend ainsi à des entités comme la fonction publique d'État, la fonction publique territoriale et la fonction publique hospitalière en France.

Terme	Définition
Donnée personnelle	Toute information se rapportant à une personne physique identifiée ou identifiable.
Traitement	Opération ou ensemble d’opérations appliquées à des données (collecte, enregistrement, conservation, modification, consultation, suppression, etc.).
Responsable du traitement	Personne physique ou morale qui détermine les finalités et les moyens du traitement.
Sous-traitant	Entité qui traite des données pour le compte du responsable de traitement.
Autorité de contrôle	Organisme indépendant chargé de veiller au respect du RGPD dans chaque État membre (ex. : CNIL en France).

Le RGPD impose le respect de principes rigoureux :

• Licéité, loyauté et transparence : traitement licite, loyal et transparent pour la personne concernée.
• Limitation des finalités : données collectées pour des finalités déterminées, explicites et légitimes.
• Minimisation des données : collecte limitée au strict nécessaire.
• Exactitude : maintien à jour des données.
• Limitation de la conservation : durée de conservation limitée.
• Intégrité et confidentialité : sécurité appropriée contre les accès non autorisés ou les pertes.
• Responsabilité : le responsable de traitement doit démontrer la conformité.

Le RGPD renforce et étend les droits des individus :

• Droit à l’information
• Droit d’accès
• Droit de rectification
• Droit à l’oubli
• Droit à la limitation du traitement
• Droit d’opposition
• Droit à la portabilité des données
• Droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé

Chaque administration publique ou organisation doit respecter ces droits et prévoir des canaux pour l’exercice de ceux-ci.

Les responsabilités imposées aux responsables de traitement et sous-traitants comprennent :

• Tenir un registre des activités de traitement
• Réaliser des analyses d'impact (PIA/DPIA) en cas de risques élevés.
• Nommer un DPO (Data Protection Officer) dans certains cas, notamment dans les entités publiques.
• Déclarer les violations de données personnelles à l’autorité de contrôle (ex. CNIL en France) sous 72h.
• Mettre en place des mesures de sécurité informatique.

Le non-respect du RGPD peut faire l’objet de contrôles par l’autorité nationale de protection des données et de sanctions significatives pouvant aller jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires mondial de l’année précédente (le montant le plus élevé étant retenu).

En France, la CNIL est l’autorité compétente en matière de contrôle, de sanction et de réception des plaintes liées à la protection des données.

Pour les administrations publiques françaises, le RGPD impose des obligations renforcées :

• Désignation obligatoire d’un délégué à la protection des données pour les collectivités territoriales et certaines agences publiques.
• Adaptation des systèmes d’information pour garantir la protection des données.
• Formation des agents publics et sensibilisation à la notion de secret professionnel lié aux informations traitées.

De nombreux documents, traitements RH, démarches administratives (état civil, carrières, gestion du personnel) sont concernés.

• CNIL (France)
• Comité européen de la protection des données (EDPB)
• Autorités de contrôle nationales des États membres de l’Union européenne
• CJUE
• Conseil d’État (France)
• Ministère de la Justice (France)
• ANSSI

Le RGPD s’articule avec d’autres régulations, telles que :

• Loi n° 78-17 du 6 janvier 1978 modifiée
• Code du travail (France)
• Loi pour une République numérique
• Directive sur la vie privée et les communications électroniques class= and the Cookie Directive

• Protection des données à caractère personnel
• Vie privée
• Libertés fondamentales
• Sécurité de l’information
• Gestion documentaire
• Transformation numérique
• Administration électronique
• Modernisation de l’action publique
• Numérique dans la fonction publique

• CNIL
• Union européenne
• DPO
• Donnée à caractère personnel
• Protection de la vie privée
• Collectivité territoriale
• Administration publique
• Sécurité informatique
• Directive 95/46/CE

1. Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016
2. CNIL – « Le RGPD en questions »
3. Comité européen de la protection des données

Catégorie: