Ces dernières années, plusieurs enseignes parmi lesquelles Google, Apple ou encore Microsoft ont écopé d’amendes au montant conséquent pour manquements à une ou plusieurs règles RGPD. Depuis sa mise en vigueur, ce règlement a été à l’origine de la collecte de 2,5 milliards d’euros pour transgression aux règles qui le composent. Aujourd’hui, nous allons aborder les notions de base du RGPD.
Qu’est-ce que le RGPD ?
Le RGPD (Règlement Général sur la Protection des données) est entré en vigueur le 25 mai 2018. Il vise à l’encadrement du traitement des données personnelles sur le territoire européen. Son application à l’échelle européenne permet d’harmoniser les règles juridiques au sein de l’UE. Il s’applique directement en droit français et remplace la loi nationale sur de nombreux points (bases légales des traitements, droits de personnes, mesures de sécurité à mettre en œuvre, etc.). Sur d’autres points comme le traitement des données de santé ou des données d’infraction, la loi Informatique et Libertés reste en vigueur et vient compléter le RGPD.
Qui est concerné ?
Tous les organismes sont susceptibles d’être concernés, quelle que soit leur taille, leur pays d’implantation ou leur activité. Il suffit qu’un organisme traite des données personnelles sur le territoire de l’UE ou que son activité cible directement des résidents européens pour être concerné.
Par exemple, une société établie en France et dont les clients sont Béninois doit respecter le RGPD. Une société établie aux États-Unis proposant un site de vente français et livrant des produits en France doit respecter le RGPD. Les sous-traitants qui traitent des données personnelles au bénéfice d’autres organismes sont aussi concernés par le RGPD.
Selon la CNIL (Commission Nationale Informatique & Libertés), une donnée personnelle correspond à « toute information se rapportant à une personne physique identifiée ou identifiable ». Les personnes concernées doivent conserver la maîtrise de leurs données. A cet effet, les droits qu’elles peuvent exercer sur leurs données sont multiples. Parmi ces derniers, on retrouve par exemple :
- Le droit à l’oubli, en vertu duquel une personne peut demander la suppression de ses données ;
- Le droit à la portabilité qui permet à une personne de réutiliser ses données personnelles ;
- Le droit de rectification si les données détenues sont inexactes ou incomplètes.
Quelles sont les obligations qui incombent aux entreprises ?
Les obligations qui incombent aux entreprises concernées sont les suivantes :
La nomination d’un(e) DPO (Data Protection Officer) est possible. Elle est obligatoire dans certains cas spécifiques (notamment pour les autorités et organismes publics, les organismes traitant à grande échelle des données dites « sensibles »,etc.)
Quelles sont les sanctions en cas de non-respect des règles ?
En cas de non-respect des règles RGPD, les organismes s’exposent à des sanctions de différentes natures (versement de dommages et intérêts, déficit d’image, sanction pénale…).
Les amendes prononcées peuvent atteindre jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial, le montant retenu étant le plus élevé des deux.
En France, l’organisme régulateur est la CNIL. C’est elle qui prononce les sanctions lorsque des cas de fraude se présentent.
ArtimIS accompagne ses clients dans leur démarche de protection des données. N’hésitez pas à consulter notre offre Cybersécurité et Protection des données.