Le RGPD est une nouvelle réglementation européenne avec de nouveaux droits et nouvelles obligations, concernant la collecte, le stockage et l’utilisation de données personnelles sensibles. Cette nouvelle réforme a été mise en place officiellement le 25 mai 2018, pour remplacer une ancienne directive datant de 1995 et devenue trop vétuste.

La naissance de cette nouvelle réforme

Cette nouvelle réforme européenne remplace une ancienne directive sur la protection des données, votée en 1995. Ce texte a été abrogé suite au vote du Conseil européen en avril 2016 qui a adopté la mise en place du RGPD. Le nom exactdu RGPD est “le règlement du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données”.

L’idée est venue du constat fait par la Commission européenne concernant la législation en vigueur, votée en 1995, et qui avait besoin d’être actualisée compte tenu des nombreuses évolutions technologiques sur les dernières années. En 2012, Bruxelles a donc proposé une réforme, qui a duré jusqu’en 2016, avec un accord entre le Conseil, le Parlement et la Commission, le 15 décembre 2015.

Ce RGPD impose aux organisations une transparence de l’information aux internautes, concernant le traitement de leurs données personnelles. Les cybernautes ont désormais un meilleur contrôle de leurs données personnelles dites sensibles. Cette nouvelle directive impose aux entreprises un énorme changement concernant leurs pratiques. Désormais, les données ne peuvent être traitées qu’après communication aux personnes concernées du détail complet sur le traitement que vont subir leurs données.

Cette nouvelle réglementation est obligatoire pour les organisations faisant partie de l’Union européenne, mais également pour les entreprises étrangères qui stockent, collectent et utilisent des données personnelles appartenant à des clients résidants dans l’UE.

Les fondements du RGPD

Le RGPD répond à deux principes fondamentaux : le respect des droits des personnes et la minimisation de la collecte des données personnelles. Les données personnelles dites sensibles concerne l’origine raciale ou ethnique, l’opinion politique ou l’appartenance syndicale, les convictions religieuses ou philosophiques, la santé, la vie ou l’orientation sexuelle, les données génétiques et biométriques (sans consentement préalable), ou encore les données concernant les infractions et condamnations pénales. Ces données sensibles doivent respecter un cadre particulier, qui interdit toute collecte sans consentement écrit, clair et explicite au préalable, et parfois validés par la Cnil. Il faut également que l’intérêt public soit avéré.

La GDPR a comme objectif de devenir le nouveau texte de référence, concernant les données personnelles, au sein de l’UE. Grâce à cette réforme, l’ensemble des États-membres de l’UE dispose du même cadre juridique concernant l’utilisation des données personnelles.

Pour l’internaute, cette nouvelle directive leur permet de disposer de plus de protection et d’avoir accès plus facilement à leurs données personnelles sur internet. En effet, désormais, les entreprises doivent au préalable obtenir un consentement écrit, clair et explicite de la part de l’internaute concerné, afin d’utiliser ces informations personnelles. Pour les enfants, se sont aux parents de donner leur accord avant toute inscription sur un réseau social. De plus, les cybernautes ont désormais le droit à l’oubli afin que toute donnée personnelle soit effacée ou retirée s’il y a atteinte à la vie privée. Ils ont également le droit à la portabilité des données. Enfin, les internautes peuvent aussi être défendus par des associations lorsqu’une organisation utilise illicitement leurs données personnelles. Les actions de groupe sont désormais possibles.

Quelles sont les sanctions en cas de non-respect ?

Les organisations ont intérêt à respecter les règles du RGPD, car en cas de non-respect, des sanctions sont applicables. Les plafonds des sanctions sont d’ailleurs particulièrement élevés : si une entreprise est prise en pleine infraction, les amendes peuvent grimper jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaire annuel mondial total de l’exercice précédent de l’organisation. En sachant que c’est le montant le plus élevé entre ces deux possibilités qui est retenu. Cela peut parfois atteindre plusieurs milliers voir plusieurs millions d’euros, en fonction de l’entreprise concernée. De plus, il est important de noter qu’une organisation doit faire attention à surveiller son sous-traitant, car, en cas de non-respect de la loi, la société en subira les conséquences, du fait de sa qualité de responsable du traitement. À noter que ce sont souvent les petites entités, à l’instar des TPE, PME ou association qui sont le plus touché, car les multinationales disposent d’experts et de juristes travaillant uniquement pour eux afin d’être toujours dans le respect de la loi.

Le site donnees-rgpd.fr, vous propose une Data Visualisation interactive afin de parcourir le règlement général de protection des données.