RGPD

Le Règlement général sur la protection des données (RGPD, ou GDPR en anglais : General Data Protection Regulation) est un règlement européen relatif à la protection des données à caractère personnel. Il est entré en application le 25 mai 2018 au sein de l'Union européenne, et s'applique directement à l'ensemble des États membres, dont la France. Il renforce et unifie la protection des données pour toutes les personnes au sein de l'UE, tout en adressant le transfert de données personnelles vers le dehors de l'UE.

Le RGPD a pour principal objectif de donner aux citoyens de l’UE un contrôle accru sur leurs données personnelles, imposant de nouvelles obligations strictes aux responsable de traitement, sous-traitants et toutes les organisations, publiques comme privées, qui collectent ou traitent ce type de données.

Le RGPD remplace la directive 95/46/CE, aussi appelée directive sur la protection des données”. L’évolution rapide des technologies numériques, l’essor des réseaux Internet, le développement des services numériques et la mondialisation des systèmes d’information ont nécessité la mise à jour du cadre juridique. C’est pourquoi la Commission européenne, sous l’impulsion de Viviane Reding, a présenté la proposition de règlement en janvier 2012. Le texte final a été adopté par le Parlement européen et le Conseil de l'Union européenne en avril 2016.

Donnée à caractère personnel

Toute information permettant d’identifier, directement ou indirectement, une personne physique (nom, numéro de sécurité sociale, adresse courriel, adresse IP, photographie, donnée biométrique, etc.).

Traitement de données à caractère personnel

Toute opération ou ensemble d'opérations effectuée(s) sur des données personnelles (collecte, enregistrement, organisation, stockage, modification, extraction, consultation, utilisation, communication, effacement).

Responsable du traitement

Personne physique ou morale, autorité publique, service ou autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et moyens du traitement.

Sous-traitant

Personne physique ou morale effectuant le traitement pour le compte du responsable de traitement.

Autorité de contrôle

Organisme public indépendant chargé de surveiller l’application du RGPD, tel que la CNIL en France.

Le RGPD s’appuie sur plusieurs principes fondamentaux, applicables à tout traitement de données à caractère personnel :

• Licéité, loyauté et transparence
• Limitation des finalités
• Minimisation des données
• Exactitude des données
• Limitation de la conservation
• Intégrité et confidentialité
• Responsabilité proactive (Accountability)

Le RGPD garantit de nouveaux droits aux personnes concernées :

• Droit à l'information
• Droit d'accès aux données
• Droit de rectification
• droit à l’oubli
• droit à la limitation
• Droit à la portabilité des données
• Droit d'opposition

Les organismes, y compris les administrations publiques, doivent respecter de nombreuses obligations, parmi lesquelles :

Obligation	Description
Tenue d’un registre des traitements	Recenser l’ensemble des traitements de données.
DPO	Désigner un Data Protection Officer chargé de garantir la conformité au RGPD (obligatoire dans le secteur public).
AIPD	Mener une analyse des risques pour les données sensibles.
Notification des violations de données	Informer la CNIL et, dans certains cas, les personnes concernées en cas de faille de sécurité.
Respect de la sécurité des données	Mettre en place des mesures techniques et organisationnelles appropriées.

Dans le secteur public, le RGPD occupe une place centrale :

• Toute collectivité territoriale, administration centrale ou locale, établissement public, est sujet au RGPD.
• La désignation d’un DPO est obligatoire.
• Les services traitant des dossiers ressources humaines, Paie, santé, éducation ou fournissant des services numériques (portails citoyens, publication en ligne) sont particulièrement concernés.
• Les agents doivent être sensibilisés à la question de la protection des données.

La Loi Informatique et Libertés, modifiée par l’ordonnance du 12 décembre 2018, adapte le RGPD à la législation française. La CNIL est l'autorité compétente pour veiller à l’application du règlement.

En cas de non-respect du RGPD, des sanctions administratives sévères peuvent être infligées par la CNIL ou toute autorité européenne compétente. Les amendes peuvent atteindre jusqu'à 20 millions d'euros ou 4% du chiffre d'affaires annuel mondial.

Les principaux motifs de sanction sont :

• Absence de base légale pour le traitement
• Défaut d’information des personnes
• Manque de sécurité ou notification tardive des violations
• Non-respect des droits des personnes

Organisme sanctionné	Pays	Motif	Montant de l'amende
Google	France	Manque de transparence et consentement insuffisant sur la publicité personnalisée	50 millions d'euros
Hôpital public (CHU de Rouen)	France	Sécurité insuffisante des systèmes informatiques	50 000 euros

Le RGPD encadre strictement les transfert de données hors UE. Des garanties adéquates, telles que les clauses contractuelles types, doivent être prévues lors du transfert de données personnelles à des organismes situés hors de l’Espace Économique Européen. Des décisions d’adéquation peuvent également être rendues par la Commission européenne.

• Guides et recommandations de la CNIL
• Plateforme d’outils de gestion de registres des traitements
• Modèles de clauses contractuelles
• Modules de formation à la sécurité informatique et à la sensibilisation des agents

• Loi Informatique et Libertés
• CNIL
• Protection des données à caractère personnel
• Fonction publique (France)
• DPO
• Directive 95/46/CE

<references />

Catégorie: