Qu'est-ce que le RGPD ?

Le RGPD ou Règlement Général sur la Protection des Données, entré en vigueur en 2018, est une réglementation de l'UE qui a remplacé la Directive 95/46/CE du 24 octobre 1995 applicable aux données personnelles et qui a donné lieu à des modifications de la loi « Informatique et Libertés » n° 78-17 du 6 janvier 1978.

C'est quoi la loi RGPD ?

Le sigle RGPD est un texte qui définit les règles pour le traitement des données personnelles, ainsi que les droits des personnes à l'égard de leurs données. En anglais le RGPD est traduit par GDPR ou "General Data Protection Regulation". Il contient une définition élargie de la donnée personnelle et du traitement de données ; il créé de nouveaux droits pour les personnes et il renforce les obligations des entreprises dont l'étendue a été précisée.

Tout organisme, peu importe sa taille, son pays d'implantation ou son activité, est concerné par la réglementation RGPD.

Quels sont les 3 principes du RGPD ?

Le RGPD s'applique notamment au marketing direct et digital et se basent sur 3 principes .

1. La logique de responsabilisation

La logique de responsabilisation ou accountability avec la RGPD fait en sorte que la déclaration préalable à la Cnil est supprimée. La responsabilisation la remplace par d'autres obligations, qui reposent toutes sur l'auto-contrôle. Ainsi, l'entreprise doit prendre les mesures pour garantir la conformité RGPD des traitements de données personnelles. En mettant régulièrement le registre à jour, l'entreprise est censée pouvoir démontrer cette conformité.

2. Le privacy by design ?

Le privacy by design est un autre grand principe du texte RGPD. De manière proactive, le responsable du traitement inclut la protection de la vie privée à chaque conception d'un service ou d'un produit, durant tout le cycle de vie des données, de leur collecte à la suppression des données confidentielles. Pour ce faire, l'organisation s'engage à prendre un ensemble de mesures techniques et organisationnelles adaptées (pseudonymisation des données pour remplacer un attribut par un autre pour éviter l'identification directe d'un individuel).

3. La coresponsabilité des sous-traitants

La RGPD implique également un régime de coresponsabilité des sous-traitants. Ainsi, de façon contractuelle, ces derniers s'engagent à la mise en oeuvre de l'ensemble des mesures de protection adéquates et à prévenir le responsable du traitement en cas de fuites des données enregistrées.

Quelle est la différence entre la CNIL et la RGPD ?

Le RGPD et la CNIL, Commission Nationale de l'Informatique et des Libertés de France, sont les éléments qui structurent le respect des données personnelles. Le RGPD est le Réglement Général de la Proection des Données tandis que le CNIL est l'unité qui contrôle le réglement RGPD.

La CNIL veille à la bonne application des mesures RGPD. La CNIL a 4 missions principales :

- Informer et protéger les droits ;

- Accompagner et conseiller pour la mise en conformité ;

- Anticiper et innover ;

- Sanctionner et contrôler.

Quelques nouveautés RGPD ont été introduites récemment dont les entreprises et marques doivent avoir connaissance.

Quelles sont les sanctions RGPD pour les entreprises ?

Si une entreprise n'est pas aux normes RGPD, elle risque des sanctions liées à la violation des données RGPD :

La mise en demeure

La Présidente de la CNIL peut mettre en demeure les organismes ne respectant pas les dispositions du RGPD ou la loi de se mettre en conformité dans un certain délai imparti.

Les sanctions pécuniaires

Avec le RGPD (réglement général sur la protection des données), les sanctions pécuniaires peuvent s'élever jusqu'à 20 millions d'euros ou jusqu'à 4% du chiffre d'affaires annuel d'une entreprise.

Cette contribution a été fournie par Alexandra Basset, Responsable des affaires juridiques, AACC