RGPD : Les questions
les plus fréquentes
Qu’est ce que le RGPD ?
Le sigle « RGPD » signifie « Règlement Général sur la Protection des Données » (en anglais « General Data Protection Regulation » ou « GDPR »). Le RGPD encadre le traitement des données personnelles des citoyens de l’Union européenne et des entreprises située sur ce même territoire.
Le contexte juridique s’adapte pour suivre les évolutions des technologies et de la digitalisation de nos usages en sociétés (usages accrus du numérique, développement du commerce en ligne, développement accéléré des réseaux sociaux, marketing digital, etc..…).
Ce règlement européen s’inscrit dans la continuité de la Loi française Informatique et Libertés de 1978 et renforce le contrôle par les citoyens de l’utilisation qui peut être faite des données les concernant.
Il harmonise les règles en Europe en offrant un cadre juridique unique aux professionnels.
Il permet de développer leurs activités numériques au sein de l’UE en se fondant sur la confiance des utilisateurs.
Qu’est ce qu’un DPO ?
Un Délégué à la Protection des Données (DPD) ou Data Protection Officer (DPO) est une personne chargée d’assurer la protection des données personnelles traitées par une entreprise. En tant que tel, il doit s’assurer que toutes les données personnelles sous la responsabilité de l’organisme sont utilisées de façon appropriée et conformément à la réglementation applicable.
Le DPO doit connaître toutes les lois et les pratiques en matière de sécurité des données. Il doit disposer d’une expertise technique et juridique en matière de protection des données personnelles. La CNIL recommande par ailleurs qu’il ait une bonne connaissance du secteur d’activité, de l’organisation interne, en particulier de l’ensemble des opérations de traitement, des systèmes d’information et des mesures de sécurité tant techniques qu’organisationnelles.
Qui est concerné par le RGPD ?
Tout organisme est susceptible d’être concerné par le RGPD.
En effet, le champ d’application du règlement ne fait pas de distinction selon la taille, l’activité, la forme juridique ou le pays d’implantation.
Ainsi, le RGPD s’applique à toute organisation, publique ou privée, qui traite des données personnelles pour son compte ou non, dès lors :
- qu’elle est établie sur le territoire de l’Union européenne, ou
- que son activité cible directement des résidents européens.
Le RGPD concerne aussi les sous-traitants qui traitent des données personnelles pour le compte d’autres organismes.
Dans quel cas doit-on désigner un DPO ?
Le rôle du Délégué à la Protection des Données a été officiellement défini par l’Union européenne dans le cadre du RGPD.
En vertu de ce règlement et contrairement au CIL, la désignation d’un DPO est désormais obligatoire dans les cas suivants :
- Si vous êtes un organisme public ou une autorité publique
- Si votre activité principale exige de traiter des données pour permettre un suivi régulier et systématique à grande échelle des personnes concernées
- Si votre activité principale exige de traiter des données sensibles (telles que des données de santé, d’infractions, relatives aux opinions philosophiques, religieuses ou politiques, à l’origine raciale ou ethnique) à grande échelle.
Le fait de ne pas être dans l'obligation de nommer un DPO ne dispense en aucun cas bien sur de ne pas appliquer les exigences du RGPD !
Quels sont les avantages du RGPD ?
Le RGPD a plusieurs objectifs :
- Renforcer la confiance de ses partenaires internes et externes
- Améliorer son efficacité commerciale
- Mieux gérer son entreprise
- Améliorer la sécurité des données de son entreprise
- Rassurer ses clients
- Développer son activité en créant de nouveaux services
Quels sont les risques d’une non conformité ?
Le RGPD est un règlement, ce qui signifie que, contrairement à une directive européenne, il est d’application directe, et ne nécessite pas de transposition. Ainsi, le RGPD s’applique directement à toutes les entités implantées en Union européenne, et va même plus loin car il protège les données personnelles de tous les citoyens de l’Union européenne, peu importe le pays d’implantation de l’entité qui les traite.
Que vous soyez responsable de traitement ou sous-traitant, vous risquez des sanctions fortes en cas de non application du RGPD, en particulier en cas d’absence de consentement des personnes physiques ou de violation des principes de gestion des données personnelles.
Votre risque :
- une amende de 20 millions d’euros, ou
- 4% du chiffre d’affaire annuel mondial de votre entreprise
selon laquelle de ces valeurs est la plus élevée.
La responsabilité d’un DPO
Toute entreprise, quels que soient son type ou sa taille, qui gère les données personnelles des résidents de l’UE ou qui est implantée en UE doit disposer, dans son organisation, d’une personne chargée de s’assurer du respect du RGPD.
Cette personne est même désignée auprès de l’Autorité de Contrôle.
Un Délégué à la Protection des Données a pour principales missions de :
- Développer et mettre en œuvre la politique de protection et de confidentialité des données de l’organisation.
- Former et conseiller le personnel sur les dispositions règlementaires sur la protection des données.
- Identifier et surveiller l’utilisation de données personnelles, en veillant à ce que les principes de la protection des données soient respectés.
- Traiter et répondre à toutes les demandes d’information, de correction ou de suppression de la part des personnes concernées afin que leurs données soient bien protégées.
Le RGPD donne au DPO un rôle essentiel dans l’entreprise, et le pouvoir de reporter au niveau de le plus élevé de la hiérarchie de l’entreprise.