RGPD – RÈGLEMENT GÉNÉRAL SUR LA PROTECTION DES DONNÉES
Le règlement général sur la protection des données (RGPD) est la loi sur la confidentialité et la sécurité la plus stricte au monde. Bien qu’il ait été rédigé et adopté par l’Union européenne (UE), il impose des obligations aux organisations n’importe où, à condition qu’elles ciblent ou collectent des données relatives aux personnes dans l’UE. Il est entré en vigueur en 2016 après son adoption par le Parlement européen et, à compter du 25 mai 2018, toutes les organisations devaient se conformer.
HISTORIQUE
1978
Loi informatique & libertés et création de la CNIL
1995
Directive du Parlement européen sur les données à caractère personnel
1995
2002
Directive vie privée et communications électroniques
2009
Mise à mise à jour de la directive précédente et introduction des “bandeaux cookie” avec soft opt’in (poursuite de la navigation)
2009
2018
Règlement Général sur la Protection des Données avec renforcement des règles du consentement
2021
Transformation de la directive de 2002 en règlement articulant RGPD et E-Privacy entre l’Union Européenne et les États-Unis (en cours)
2021
NOTIONS CLÉS
Données personnelles
Est considérée comme donnée personnelle toute information relative à une personne physique «identifiée ou identifiable» de façon directe ou indirecte. Les noms, les coordonnées et adresses e-mail en font évidemment partie. Les informations de localisation, l’origine ethnique, le sexe, les données biométriques, les croyances religieuses, les cookies Web et les opinions politiques peuvent également être considérées comme des données personnelles. Les données pseudonymisées peuvent aussi relever de cette définition s’il est relativement facile d’identifier quelqu’un à partir de celles-ci.
Traitement des données
Toute action effectuée sur les données personnelles, qu’elle soit automatisée ou manuelle. Les exemples cités dans le texte de loi incluent notamment la collecte, l’enregistrement, l’organisation, la structuration, le stockage, l’utilisation, l’effacement, etc.
À noter, ce terme ne désigne pas uniquement aux données collectées ou conservées informatiquement, les fichiers papiers sont également concernés et protégés dans les mêmes conditions.
Délégué à la Protection des Données (Data Protection Officer)
Il s’agit du chef d’orchestre, de la personne chargée de garantir l’application des principes de protection des données à caractère personnel dans une institution. Il peut être salarié ou consultant externe.
Il résulte de l’application du règlement (CE) n° 45/2001.
Pour plus d’informations, consultez le site de la CNIL.
Responsable de traitement des données
D’après l’article 38 du RGPD, point 2, « Le responsable du traitement et le sous-traitant aident le délégué à la protection des données à exercer les missions visées à l’article 39 en fournissant les ressources nécessaires pour exercer ces missions, ainsi que l’accès aux données à caractère personnel et aux opérations de traitement, et lui permettent d’entretenir ses connaissances spécialisées ».
En d’autres mots, le responsable du traitement de données est une personne morale ou physique, généralement une entreprise ou un organisme incarné par son représentant légal (notamment son président). Son rôle est de déterminer les finalités et les moyens mis en œuvre afin de traiter les données personnelles en toute conformité avec le RGPD.
Une de ses missions est de tenir le registre des activités de traitement effectuées. En cas de nécessité, il doit accomplir les formalités déclaratives auprès de la Commission Nationale de l’Informatique et des Libertés (CNIL).
Consentement
En vertu du RGPD, les visiteurs ou clients doivent être informés des données que le site recueille auprès d’eux et consentir explicitement à cette collecte d’informations.
Le consentement y est défini comme « toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement ».
PRINCIPES DU RGPD (Règlement (UE) 2016/679, chapitre II, article 5)
Le RGPD exige que les données à caractère personnel soient traitées de manière licite, équitable et transparente vis-à-vis des personnes concernées. La transparence implique que toute information et communication concernant le traitement des données personnelles soit facilement accessible et facile à comprendre. En outre, un langage clair et simple doit être utilisé à cet égard. Plus précisément, ce principe garantit que la personne concernée reçoive des informations sur l’identité des responsables du traitement et les finalités du traitement des données à caractère personnel.
CNIL – COMMISSION NATIONALE DE L’INFORMATIQUE ET DES LIBERTÉS
D’après l’article 51 du chapitre VI du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, chaque état membre doit prévoir une ou plusieurs autorités publiques indépendantes pour contrôler la bonne application du RGPD et protéger les libertés et droits fondamentaux des personnes physiques concernant leurs données à caractère personnel au sein de l’Union.
En France, l’institution en charge de ce rôle est la Commission Nationale de l’Informatique et des Libertés aussi appelé la CNIL.
Régulateur des données personnelles dans le numérique, la CNIL accompagne aussi bien les professionnels que les particuliers.
Elle accompagne toutes les structures dans leur mise en conformité et aide les particuliers à maîtriser leurs données personnelles et à exercer leurs droits.
Informer, protéger les droits
Elle a la mission d’informer les personnes de leurs droits et répond aux questions des professionnels et des particuliers. Elle met à disposition du public des outils pédagogiques et propose des actions de formation et sensibilisation au RGPD.
Accompagner la conformité / conseiller
La CNIL propose une boîte à outils pour toutes les besoins des organismes privés et publics de toute taille. De plus, elle exerce aussi une activité de conseil pour des projets gouvernementaux.
Anticiper et innover
La CNIL participe aux débats de société sur les enjeux éthiques des données. Elle fait la passerelle entre les différents acteurs pour l’innovation du numérique. Aussi, elle conseille les entreprises pour développer des solutions technologiques protectrices de la vie privée. En savoir plus.
Contrôler et sanctionner
Le Comité peut contrôler les organismes pour vérifier leur conformité. Lorsqu’un manquement est constaté, elle peut décider de les sanctionner ou de les mettre en demeure. La CNIL vous en dit plus sur la procédure de sanction ici.
ENJEUX POUR LES ENTREPRISES
Alors que le RGPD peut s’apparenter à une contrainte pour les organismes, il peut aussi être un véritable atout. Aussi bien pour l’image de l’entreprise que pour la sécurité en son sein, la conformité RGPD va favoriser la confiance que le public peut avoir pour une entreprise.
OBLIGATIONS DES ENTREPRISES
ENGAGEMENT DIGIPERF
Digiperf s’engage a accompagné tous ses clients conformément au Règlement Général sur la Protection des Données. Dans la pratique, tous nos outils, notre plateforme, nos process ont été réfléchis pour mener les campagnes des clients dans le respect du cadre réglementaire. En savoir plus.
Si vous souhaitez diffuser vos campagnes de programmatique ou d’affiliation en toute conformité, contactez-nous.
Cet article a été écrit en février 2021. Il sera mis à jour régulièrement. Il ne tient pas compte des éventuelles évolutions législatives postérieurs.