Logo Explique.org Explique.org

Dossier

RGPD

Le RGPD (Règlement général sur la protection des données) encadre la collecte et l'utilisation des données personnelles en Europe. Il impose des obligations aux organisations et donne des droits concrets aux individus.

Temps de lecture estimé : 9 minutes
Illustration du RGPD

Définition

Le RGPD est un règlement européen entré en application en 2018. Il s'applique à toute organisation qui traite des données personnelles de résidents de l'Union européenne, qu'elle soit basée ou non dans l'UE. Il vise à harmoniser les règles et à renforcer la protection des personnes.

Idée clé : le RGPD crée des droits pour les personnes et des devoirs pour les organisations.

Principes fondamentaux

Le RGPD repose sur des principes de licéité, loyauté et transparence. Les données doivent être collectées pour des finalités précises, limitées et légitimes. Elles doivent être pertinentes, exactes, conservées pendant une durée limitée et protégées contre les accès non autorisés.

Bases légales du traitement

Un traitement de données doit reposer sur une base légale : consentement, exécution d'un contrat, obligation légale, intérêt vital, mission d'intérêt public ou intérêt légitime. Le consentement doit être libre, spécifique et révocable à tout moment.

Droits des personnes

Les personnes disposent du droit d'accès, de rectification, d'effacement et de limitation du traitement. Elles peuvent aussi s'opposer à certains traitements et demander la portabilité de leurs données. L'organisation doit répondre dans des délais raisonnables.

Obligations des organisations

Les responsables de traitement doivent tenir un registre des activités, informer clairement les utilisateurs et encadrer leurs sous-traitants par contrat. Des analyses d'impact sont exigées pour les traitements à risque. La désignation d'un délégué à la protection des données (DPO) est parfois obligatoire.

Responsabilité et preuve

Le RGPD introduit le principe d'accountability : une organisation doit pouvoir démontrer sa conformité. Cela passe par des politiques internes, des formations, une documentation précise et des audits réguliers. La conformité n'est pas une déclaration, mais un processus continu.

Sécurité des données

Les données doivent être protégées par des mesures techniques et organisationnelles adaptées : contrôle d'accès, chiffrement, sauvegardes, journalisation. La sécurité dépend aussi des comportements : mots de passe, accès limités et sensibilisation du personnel.

Violations de données

En cas de violation, l'organisation doit notifier la CNIL dans les 72 heures si le risque est significatif. Les personnes concernées doivent être informées si le risque est élevé. La transparence et la réactivité réduisent l'impact et les sanctions potentielles.

Cookies et traceurs

Les cookies non essentiels nécessitent le consentement explicite des utilisateurs. Le refus doit être aussi simple que l'acceptation, et le choix doit être conservé pendant une durée raisonnable. Les bannières doivent expliquer clairement les finalités.

Sanctions possibles

Les sanctions peuvent atteindre 20 millions d'euros ou 4 % du chiffre d'affaires mondial annuel. La CNIL peut aussi prononcer des mises en demeure, des limitations de traitement ou des obligations de mise en conformité. La réputation d'une organisation est également en jeu.

Comment exercer ses droits

Pour exercer un droit, il faut contacter l'organisme concerné (service client ou DPO) avec une demande claire. En cas d'absence de réponse ou de refus injustifié, un recours auprès de la CNIL est possible. Conserver les preuves des échanges facilite les démarches.

À retenir

Le RGPD impose un cadre strict pour l'usage des données personnelles. Il renforce les droits des citoyens et responsabilise les entreprises. La conformité repose sur la transparence, la sécurité et la capacité à prouver les actions mises en place.