Protection des données : tout savoir sur le RGPD

RGPD et protection des données : le guide complet

Entré en vigueur en mai 2018, le Règlement général sur la protection des données (RGPD) est le texte de référence concernant les données personnelles des Européens. Il précise la manière dont toute organisation doit traiter les informations sensibles qu’elle collecte. Spécifications, cadre légal, acteurs et mise en pratique : découvrez tout ce qu’il faut savoir sur le RGPD et la protection des données.

Qu’est-ce que le RGPD ? Les définitions

Avant d’identifier les points à maîtriser pour assurer sa conformité au RGPD, abordons en détails les termes essentiels.

Le Règlement général sur la protection des données

Aussi appelé General Data Protection Regulation (GDPR) en anglais, le RGPD fixe le cadre légal européen pour le traitement des données personnelles. Autrement dit, il encadre la manière dont les organismes, privés ou publics, sont amenés à collecter et traiter les informations des citoyens de l’UE.

La loi française « Informatique et Libertés » avait été promulguée en 1978. Malgré une mise à jour en 2005, l’évolution des technologies et l’usage accru du numérique nécessitaient une refonte en profondeur de l’environnement réglementaire.

Ce nouveau règlement européen :

• offre une législation harmonisée et un cadre juridique unique pour les organisations ;
• renforce le contrôle par les internautes de l’utilisation qui est faite de leurs données ;
• prend des mesures alors que les flux d’informations sont de plus en plus importants.

La notion de donnée personnelle

Ce terme est à aborder dans le sens le plus large possible. Ainsi, le texte précise qu’une « donnée personnelle » représente toute information qui se rapporte à une personne physique identifiée ou identifiable.

L’identification peut être :

• directe : le nom et prénom de l’individu ;
• indirecte : son numéro de téléphone, son adresse ou un identifiant client ;
• à un seul facteur : un numéro de sécurité sociale ;
• à plusieurs facteurs : son âge, sa passion ou un abonnement à un magazine par exemple.

Le traitement des données personnelles

Il représente n’importe quelle opération qui porte sur des données personnelles. Cela peut être : organiser, collecter, conserver, transmettre les données, mais aussi les extraire, les consulter, les communiquer, les utiliser, etc. Un traitement peut exister sous de nombreuses formes : fichier, tableur, base de données, reconnaissance biométrique ou application pour smartphone.

Quelles dispositions légales dans le RGPD pour la protection des données ?

Le RGPD aborde des notions clés et prévoit des sanctions en cas de violations.

Le cadre légal

Le RGPD fixe de grands principes que chaque organisation doit respecter :

• la finalité : les données doivent être traitées uniquement dans un but légitime et légal avec un objectif précis ;
• la proportionnalité et la pertinence : la structure doit se limiter aux données strictement nécessaires et pertinentes ;
• la transparence : les utilisateurs savent quelles sont les données collectées et pourquoi ;
• le respect des droits des personnes : l’organisation doit faciliter l’exercice de leurs droits (suppression, rectification, consultation) ;
• la conservation limitée : les données ne sont conservées que le temps de réaliser l’objectif ;
• la sécurité et la confidentialité : les données doivent être protégées afin que seules les personnes autorisées y aient accès (physiquement ou informatiquement) ;
• l’exactitude : l’établissement s’assure de la mise à jour des données et de leur correction.

Les sanctions encourues en cas de non-conformité

Suite à une plainte ou suivant un plan d’inspection, la CNIL effectue des contrôles pour vérifier le respect des exigences du RGPD et son application. Les organismes qui ne démontrent pas leur conformité aux règles imposées par le RGPD s’exposent à des condamnations administratives et pénales. Ils peuvent également être condamnés à verser des dommages et intérêts selon la gravité des violations observées.

En effet, l’article 84 du RGPD laisse aux États la possibilité de déterminer des peines applicables. En France, c’est le Code pénal (article 226-21) qui prévaut. La sanction peut aller jusqu’à 5 ans de prison et 300 000 euros d’amende pour un détournement de la finalité du traitement des données personnelles. Dans les cas les plus graves, la CNIL peut prononcer une pénalité d’un montant maximum de 20 millions d’euros ou 4 % du CA mondial. Elle peut aussi ordonner l’insertion, aux frais de l’organisme, de la décision dans des journaux ou publications.

En septembre 2022, les autorités irlandaises ont infligé une amende de 405 millions d’euros à Instagram pour non-respect du règlement.

Qui est concerné par le RGPD ?

Le RGPD a pour but de protéger la vie privée des habitants de l’Union européenne. Dans ce contexte, une organisation doit appliquer le RGPD dès l’instant où :

• son siège social est basé dans l’UE ;
• elle traite les données personnelles de citoyens européens.

Il concerne aussi :

• les sous-traitants qui manipulent des informations sensibles pour le compte d’autres entités ;
• les organismes publics ;
• tous les sites web, y compris les blogs, dès lors qu’ils collectent des données personnelles au travers de cookies.

Le RGPD prévoit la désignation d’un Délégué à la protection des données (DPO). Elle est obligatoire dans certaines structures :

• Les institutions publiques.
• Les organisations qui réalisent des suivis systématiques et à grande échelle. Par exemple, un fournisseur d’accès à internet ou une banque.
• Les établissements qui traitent des données sensibles (relatives à la santé, à la religion, etc.)

Le DPO endosse les missions suivantes :

• en amont, il accompagne les structures dans la mise en conformité du RGPD, à la manière d’un chef de projet ;
• au quotidien, il vérifie que l’organisme respecte les exigences et les règles
• en tant qu’interlocuteur privilégié, il assure la coopération avec la CNIL ;
• il aide à la prise de décisions ayant un impact sur la protection des données.

RGPD : quel impact sur le B2C ?

La conformité au RGPD implique de repenser comment sont utilisées ces données, dans le respect de la vie privée des utilisateurs. Il est impossible de traiter des données dans l’optique de les utiliser « un jour ». Le but doit être légal et légitime.

Par exemple, une entreprise de prêt-à-porter recueille des données pour proposer une carte de fidélité à ses clients. Son objectif final est la gestion de sa clientèle.
Autre cas : une PME vend ses produits à des professionnels et elle a compilé les informations relatives aux sociétés avec lesquelles elle travaille. Si le fichier mentionne le nom des sociétés, leur adresse et un email générique (contact@societex.com), celui-ci ne sera pas considéré comme un traitement de données personnelles.

On le voit, le RGPD va impacter différemment les établissements qui fonctionnent en B2C ou en B2B. Pour rappel, le marketing B2B (Business To Business) concerne les échanges commerciaux avec d’autres entreprises. Le B2C (Business To Consumer) définit des entreprises dont les clients sont des particuliers.

Les personnes que vous allez contacter par mail, par téléphone ou SMS doivent avoir donné leur accord. C’est la notion de consentement. En B2B, si le client ne manifeste pas son désaccord, on suppose qu’il souhaite recevoir des communications comme une publicité par mail. C’est ce que l’on nomme l’opt-out : s’il n’a pas dit non, alors c’est oui. En B2C, il convient de recueillir l’accord au préalable. C’est l’opt-in : si le client n’a pas dit oui, alors c’est non. C’est notamment le cas pour l’envoi de publicité par mail ou SMS ou de newsletters.

Enfin, tout site web qui vend à des particuliers européens doit obtenir le consentement des utilisateurs avant l’activation des cookies. Un bandeau d’avertissement s’affiche lors de la première visite du client. L’internaute doit demeurer libre de son choix et pouvoir le changer à tout moment.