RGPD – RÈGLEMENT GÉNÉRAL SUR LA PROTECTION DES DONNÉES

Le règlement général sur la protection des données (RGPD) est la loi sur la confidentialité et la sécurité la plus stricte au monde. Bien qu’il ait été rédigé et adopté par l’Union européenne (UE), il impose des obligations aux organisations n’importe où, à condition qu’elles ciblent ou collectent des données relatives aux personnes dans l’UE. Il est entré en vigueur en 2016 après son adoption par le Parlement européen et, à compter du 25 mai 2018, toutes les organisations devaient se conformer.

HISTORIQUE

1978
Loi informatique & libertés et création de la CNIL
1995
Directive du Parlement européen sur les données à caractère personnel
1995
2002
Directive vie privée et communications électroniques
2009
Mise à mise à jour de la directive précédente et introduction des “bandeaux cookie” avec soft opt’in (poursuite de la navigation)
2009
2018
Règlement Général sur la Protection des Données avec renforcement des règles du consentement
2021
Transformation de la directive de 2002 en règlement articulant RGPD et E-Privacy entre l’Union Européenne et les États-Unis (en cours)

2021

NOTIONS CLÉS

Données personnelles

Est considérée comme donnée personnelle toute information relative à une personne physique «identifiée ou identifiable» de façon directe ou indirecte. Les noms, les coordonnées et adresses e-mail en font évidemment partie. Les informations de localisation, l’origine ethnique, le sexe, les données biométriques, les croyances religieuses, les cookies Web et les opinions politiques peuvent également être considérées comme des données personnelles. Les données pseudonymisées peuvent aussi relever de cette définition s’il est relativement facile d’identifier quelqu’un à partir de celles-ci.

Traitement des données

Toute action effectuée sur les données personnelles, qu’elle soit automatisée ou manuelle. Les exemples cités dans le texte de loi incluent notamment la collecte, l’enregistrement, l’organisation, la structuration, le stockage, l’utilisation, l’effacement, etc.
À noter, ce terme ne désigne pas uniquement aux données collectées ou conservées informatiquement, les fichiers papiers sont également concernés et protégés dans les mêmes conditions.

Délégué à la Protection des Données (Data Protection Officer)

Il s’agit du chef d’orchestre, de la personne chargée de garantir l’application des principes de protection des données à caractère personnel dans une institution. Il peut être salarié ou consultant externe.

Il résulte de l’application du règlement (CE) n° 45/2001.

Pour plus d’informations, consultez le site de la CNIL.

Responsable de traitement des données

D’après l’article 38 du RGPD, point 2, « Le responsable du traitement et le sous-traitant aident le délégué à la protection des données à exercer les missions visées à l’article 39 en fournissant les ressources nécessaires pour exercer ces missions, ainsi que l’accès aux données à caractère personnel et aux opérations de traitement, et lui permettent d’entretenir ses connaissances spécialisées ».

En d’autres mots, le responsable du traitement de données est une personne morale ou physique, généralement une entreprise ou un organisme incarné par son représentant légal (notamment son président). Son rôle est de déterminer les finalités et les moyens mis en œuvre afin de traiter les données personnelles en toute conformité avec le RGPD.
Une de ses missions est de tenir le registre des activités de traitement effectuées. En cas de nécessité, il doit accomplir les formalités déclaratives auprès de la Commission Nationale de l’Informatique et des Libertés (CNIL).

Consentement

En vertu du RGPD, les visiteurs ou clients doivent être informés des données que le site recueille auprès d’eux et consentir explicitement à cette collecte d’informations.

Le consentement y est défini comme « toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement ».

PRINCIPES DU RGPD (Règlement (UE) 2016/679, chapitre II, article 5)

Licéité, Loyauté, Transparence

Le RGPD exige que les données à caractère personnel soient traitées de manière licite, équitable et transparente vis-à-vis des personnes concernées. La transparence implique que toute information et communication concernant le traitement des données personnelles soit facilement accessible et facile à comprendre. En outre, un langage clair et simple doit être utilisé à cet égard. Plus précisément, ce principe garantit que la personne concernée reçoive des informations sur l’identité des responsables du traitement et les finalités du traitement des données à caractère personnel.

Limitation des finalités

Afin de garantir que les raisons du traitement soient claires, accessibles, et conformes aux attentes raisonnables des personnes concernées, la législation de l’UE sur la protection des données exige que les finalités du traitement soient précisées. C’est fondamental pour gagner la confiance du public.
En pratique, cela signifie que vous devez:

être clairs dès le départ sur la raison pour laquelle vous collectez des données personnelles et sur ce que vous comptez en faire;
respecter les obligations de documentation pour spécifier vos objectifs;
respecter les obligations de transparence pour informer les individus de vos objectifs;
veiller à ce que toute utilisation ou divulgation à des fins supplémentaires ou différentes de celles initialement spécifiées soit juste, licite et transparente.

Minimisation des données

La minimisation des données est le principe qui stipule qu’une fois collectées et traitées, afin de garantir leur confidentialité, les données ne doivent pas être conservées ou utilisées à moins que cela ne soit essentiel pour des raisons clairement énoncées à l’avance.
Le RGPD définit cette notion comme des données qui sont :

Adéquates
Pertinentes
Limitées à ce qui est nécessaire aux fins pour lesquelles elles sont traités

Exactitude

Limitation de la conservation

Intégrité et Confidentialité

C’est le seul principe qui traite explicitement de la sécurité. Le RGPD stipule que les données personnelles doivent être

« traitées de manière à garantir la sécurité appropriée des données à caractère personnel, y compris la protection contre le traitement non autorisé ou illégal et contre la perte, la destruction ou les dommages accidentels, en utilisant des mesures techniques ou organisationnelles appropriées ».

Le RGPD est délibérément vague sur les mesures que les organisations devraient prendre, car les meilleures pratiques technologiques et organisationnelles changent constamment.

Actuellement, les organisations devraient crypter et / ou pseudonymiser les données personnelles dans la mesure du possible, mais elles doivent envisager toutes les options appropriées.

CNIL – COMMISSION NATIONALE DE L’INFORMATIQUE ET DES LIBERTÉS

D’après l’article 51 du chapitre VI du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, chaque état membre doit prévoir une ou plusieurs autorités publiques indépendantes pour contrôler la bonne application du RGPD et protéger les libertés et droits fondamentaux des personnes physiques concernant leurs données à caractère personnel au sein de l’Union.

En France, l’institution en charge de ce rôle est la Commission Nationale de l’Informatique et des Libertés aussi appelé la CNIL.

Régulateur des données personnelles dans le numérique, la CNIL accompagne aussi bien les professionnels que les particuliers.
Elle accompagne toutes les structures dans leur mise en conformité et aide les particuliers à maîtriser leurs données personnelles et à exercer leurs droits.

Informer, protéger les droits

Elle a la mission d’informer les personnes de leurs droits et répond aux questions des professionnels et des particuliers. Elle met à disposition du public des outils pédagogiques et propose des actions de formation et sensibilisation au RGPD.

Accompagner la conformité / conseiller

La CNIL propose une boîte à outils pour toutes les besoins des organismes privés et publics de toute taille. De plus, elle exerce aussi une activité de conseil pour des projets gouvernementaux.

Anticiper et innover

La CNIL participe aux débats de société sur les enjeux éthiques des données. Elle fait la passerelle entre les différents acteurs pour l’innovation du numérique. Aussi, elle conseille les entreprises pour développer des solutions technologiques protectrices de la vie privée. En savoir plus.

Contrôler et sanctionner

Le Comité peut contrôler les organismes pour vérifier leur conformité. Lorsqu’un manquement est constaté, elle peut décider de les sanctionner ou de les mettre en demeure. La CNIL vous en dit plus sur la procédure de sanction ici.

ENJEUX POUR LES ENTREPRISES

Alors que le RGPD peut s’apparenter à une contrainte pour les organismes, il peut aussi être un véritable atout. Aussi bien pour l’image de l’entreprise que pour la sécurité en son sein, la conformité RGPD va favoriser la confiance que le public peut avoir pour une entreprise.

Sécurité

Enjeu actuel sur internet, la sécurité est une bataille pour toutes les entreprises. En effet, face à des techniques de piratage de plus en plus perfectionnées, les entreprises doivent améliorer leur sécurité en permanence.

Le RGPD a permis aux entreprises de prendre conscience de la valeur des données personnelles et ainsi de l’importance de la mise en place des mesures de sécurité adaptées et efficaces.

Projet européen

Concernant la collecte de données personnelles, le RGPD harmonise les règles au niveau européen. Cette règlementation a pour objectif de responsabiliser les entreprises quant à leur utilisation des données. Ainsi, toutes les structures publiques ou privées doivent adopter des mesures adéquates pour renforcer la protection des données personnelles des internautes de l’Union.
Cela permet aux entreprises présentes sur plusieurs pays du marché européen d’avoir une réglementation commune sur l’ensemble de ces pays.

Gage de confiance

Pour respecter les règles du RGPD, l’entreprise se doit de communiquer en toute transparence aux internautes les données personnelles collectées et l’usage qui en fait. Ces personnes sont aussi informées de leurs droits d’accès, de rectification, de suppression, d’opposition.
Le public étant de plus en plus sensibilisé à la sécurité de ses données personnelles, cette transparence imposée confère une plus grande confiance des internautes dans les entreprises compliant et leur image de marque s’en ressent.

Meilleure gestion

Le RGPD impose aux entreprises un véritable cadre de sécurité: ne doivent être collectées, avec l’accord de l’internaute, que les données absolument indispensables au bon fonctionnement du service proposé. Et ces données doivent être régulièrement tenues à jour.
Ce nettoyage fréquent permet aux entreprises de réaliser des économies de stockage mais aussi une plus grande efficacité commerciale.

Innovations

OBLIGATIONS DES ENTREPRISES

ENGAGEMENT DIGIPERF

Digiperf s’engage a accompagné tous ses clients conformément au Règlement Général sur la Protection des Données. Dans la pratique, tous nos outils, notre plateforme, nos process ont été réfléchis pour mener les campagnes des clients dans le respect du cadre réglementaire. En savoir plus.

Si vous souhaitez diffuser vos campagnes de programmatique ou d’affiliation en toute conformité, contactez-nous.

Cet article a été écrit en février 2021. Il sera mis à jour régulièrement. Il ne tient pas compte des éventuelles évolutions législatives postérieurs.

RGPD – RÈGLEMENT GÉNÉRAL SUR LA PROTECTION DES DONNÉES

HISTORIQUE

1978

1995