Comprendre le RGPD: les fondamentaux du règlement

En début de semaine, nous vous annoncions sur nos réseaux sociaux le lancement d' IZI TRICKS. Tous les mois, une série d'articles sur un thème donné vous sera proposée sur notre site. Pour la 1ère saison, les articles de ce mois porteront sur le RGPD. Nous entamons donc le mois de novembre avec le 1er épisode de la saison 1: les fondamentaux du RGPD.

Vous en avez forcément entendu parler; le RGPD a défrayé la chronique au moment de son entrée en application et il demeure un sujet actuel. Mais, savez-vous réellement de quoi il est question lorsque vous croisez ce sigle en titre d’un article ou dans un des nombreux mails de mise à jour de politique de confidentialité reçus?

Dans ce 1er article introductif, nous allons revenir sur les origines du RGPD. Pourquoi ce règlement a été adopté, quelles sont les personnes concernées et quels enjeux peuvent s'en dégager pour les professionnels?

Le RGPD, qu'est ce que c'est?

RGPD (ou GDPR en anglais) est le sigle communément utilisé pour désigner le Règlement Général sur la Protection des Données.
Il s’agit d’un texte juridique européen qui encadre le traitement des données personnelles sur l’ensemble du territoire européen. Entré en application le 25 mai 2018, il vient renforcer les droits des internautes en matière de protection de données personnelles et; de ce fait, il accroît les devoirs du responsable du traitement (que sont les organisations publiques et privées).

Comment et pourquoi est né le RGPD?

La France fut l’un des précurseurs en matière de protection des données personnelles. Ce fut, en effet, l’un des premiers Etats à proposer un encadrement en ce qui concerne les données à caractère personnel. Ainsi, voit le jour en 1978 la Loi Informatique et Libertés dit "LIL" pour les intimes. Cette dernière donnera également naissance à la CNIL (Commission Nationale Informatique et Libertés - une autorité administrative indépendante française dont le rôle est de faire respecter la LIL).
En 1995, l’Europe décide de rattraper son retard et adopte une directive applicable aux Etats membres. Cette directive vient poser un cadre légal en Europe visant à harmoniser les différentes normes dont se sont dotés les Etats membres et à favoriser la libre circulation des données personnelles entre ces Etats.

Face à la place importante et grandissante que prennent les outils numériques dans nos vies, la directive de 1995 s'est vite révélée insuffisante. L'UE a, alors, décidé de poser un cadre légal plus adapté à toutes les innovations que connaît notre société.

Au final, le RGPD sera adopté pour créer un niveau élevé et uniforme de protection des données au sein de l'union européenne. Elle renforce certains droits existants et en crée de nouveaux, tout en offrant aux acteurs économiques de la clarté au niveau des règles applicables.

A qui s'adresse le RGPD?

Qui est alors concerné par les obligations du RGPD? Le règlement s’applique à toute organisation publique ou privée, qui traite des données personnelles, pour son compte ou non dès lors qu’elle est établie sur le territoire de l’UE ou que son activité cible des résidents de l’UE.

NB: Les sous traitants qui traitent des données à caractère personnel sont également concernés.

Quelques notions clés du règlement

• la donnée à caractère personnel (DCP) ou donnée personnelle (DP); il s'agit d'une information relative à une personne physique qui permet son identification directement (avec le nom et le prénom par exemple) ou indirectement (avec un numéro client ou la voix ou via un croisement de plusieurs données par exemple ). En effet, dès le moment où il est possible de remonter à une personne avec les données collectées, on est en présence de données identifiantes donc à caractère personnel.

NB: Les données, traitées par une entreprise, qui ne se rapportent pas à une personne physique (dans le cadre d'une relation B2B par exemple) ne sont donc pas concernées par les dispositions du règlement.

• le traitement de données personnelles est toute opération relative à des données personnelles, quel que soit le procédé utilisé.

La collecte, l'enregistrement, l'organisation, la conservation, la modification ou la consultation sont quelques exemples de traitement.
NB: les fichiers papiers sont aussi concernés par le traitement.

• le responsable du traitement, au sens du règlement, est la "personne morale (entreprise, institutions locales, etc.) ou physique, l'autorité publique, le service ou tout autre organisme qui détermine les finalités et les moyens d’un traitement", c’est à dire l’objectif et la façon de le réaliser.

• le sous-traitant est la personne morale ou physique qui traite des données à caractère personnel pour le compte d'un autre.

Les enjeux du règlement

Le RGPD renvoie à un ensemble de règles auxquelles doivent se conformer les responsables du traitement mais il comporte également des enjeux pour les entreprises. En effet, la donnée est au coeur des modèles économiques actuels.

Outre l'obligation légale qui découle du RGPD, la conformité au règlement devient indispensable afin d'obtenir la confiance des clients, prospects, partenaires ou même salariés, etc. et de préserver l'image de marque ainsi que la réputation de l'entreprise.

A découvrir dans le prochain épisode

Maintenant que nous sommes bien au fait de ce qu'est le RGPD, comment pouvons-nous mettre en conformité notre site internet vitrine? Rendez-vous la semaine prochaine pour l'épisode 2!