Synthèse sur les bases du RGPD en France (Règlement général sur la protection des données)

You are currently viewing Synthèse sur les bases du RGPD en France (Règlement général sur la protection des données)

Synthèse sur les bases du RGPD en France (Règlement général sur la protection des données)

  • Auteur/autrice de la publication :
  • Post category:Normes
  • Commentaires de la publication :0 commentaire

Le Règlement Général sur la Protection des Données (RGPD, n° 2016/679) est une réglementation européenne entrée en vigueur le 25 mai 2018.

Il s’applique directement dans tous les États membres de l’Union européenne, dont la France.

 

Définitions clés

  • Donnée à caractère personnel : toute information se rapportant à une personne physique identifiée ou identifiable (nom, e‑mail, IP, etc.)
  • Traitement : toute opération ou ensemble d’opérations effectuées sur des données (collecte, enregistrement, conservation, consultation, modification, effacement…)
  • Responsable de traitement : personne physique ou morale qui détermine les finalités et les moyens du traitement
  • Sous‑traitant : personne physique ou morale qui traite des données pour le compte du responsable de traitement

 

Principes fondamentaux

  • Licéité, loyauté et transparence : chaque traitement doit reposer sur une base légale (consentement, contrat, obligation légale, intérêt légitime…)
  • Limitation des finalités : collecte pour des finalités explicites, légitimes et non incompatibles
  • Minimisation des données : ne traiter que les données strictement nécessaires par rapport aux finalités
  • Exactitude : veille à ce que les données soient à jour et rectifiées si nécessaire
  • Limitation de la conservation : les données ne sont pas conservées au‑delà de la durée nécessaire à la finalité
  • Intégrité et confidentialité : sécurisation des données contre la perte, la destruction ou l’accès non autorisé

 

Droits des personnes concernées

  • Droit d’information : obligation de fournir des mentions claires (identité du responsable, finalités, durée de conservation, droit d’accès…)
  • Droit d’accès : obtenir une copie des données traitées
  • Droit de rectification : faire corriger des données inexactes
  • Droit à l’effacement (« droit à l’oubli ») : sous conditions (données non plus nécessaires, consentement retiré, etc.)
  • Droit à la limitation du traitement : suspension de l’usage des données
  • Droit à la portabilité : recevoir et réutiliser ses données dans un format structuré, couramment utilisé et lisible par machine
  • Droit d’opposition : s’opposer, pour des motifs légitimes, au traitement
  • Droit d’introduire une réclamation auprès de la CNIL

 

Obligations des organisations

  • Registre des traitements : tenir à jour la liste des activités de traitement (désormais exigé sauf pour micro‑entreprises sans risque élevé)
  • Analyse d’impact (AIPD) : nécessaire pour les traitements à haut risque (profilage, surveillance publique, traitement de données sensibles…)
  • Sécurité : mise en place de mesures techniques et organisationnelles adaptées (chiffrement, pseudonymisation, plan de reprise…)
  • Contrats avec les sous‑traitants : inclure des clauses types réglementaires pour encadrer le traitement externalisé
  • Désignation d’un Délégué à la Protection des Données (DPO) : obligatoire pour les autorités et organismes publics, les organismes avec des activités de base pour du suivi régulier et systématique des personnes à grande échelle, les organismes avec des activités de base pour le traitement à grande échelle des données dites « sensibles » et relatives à des condamnations pénales ou infractions
  • Notification des violations de données : informer la CNIL dans les 72 heures en cas de fuite ou de piratage, et les personnes concernées si le risque est élevé

 

Autorité de contrôle : la CNIL

  • Rôle : conseiller, contrôler et sanctionner
  • Moyens : enquêtes sur place, mises en demeure, injonctions, sanctions pécuniaires (jusqu’à 20 M € ou 4 % du chiffre d’affaires mondial annuel)
  • Guides et formalités : la CNIL fournit des recommandations sectorielles, propose des modèles de registre, d’AIPD et gère les déclarations via son site

 

Sanctions et bonnes pratiques

  • Sanctions administratives : avertissements, injonctions, amendes financières (exemples récents : amendes de plusieurs millions d’euros contre de grandes entreprises pour manquements)
  • Sanctions pénales : en cas de délits (collecte frauduleuse de données, atteinte à la vie privée)
  • Culture de la confidentialité by design et by default : intégrer la protection des données dès la conception des systèmes et paramétrer par défaut les niveaux de confidentialité les plus élevés
  • Formation et sensibilisation : accompagner les équipes (DPO, RSSI, développeurs, marketing) pour réduire les risques humains