Solutions
Produits

En Savoir-Plus

Points Forts

Ressources
Partenaires
Démo gratuite

RGPD

Qu’est-ce que le RGPD ?

L’acronyme « RGPD » renvoie au Règlement Général sur la Protection des Données. Il s’agit de la principale législation régissant la confidentialité des données numériques des individus basés au sein de l’Union européenne (UE). Elle est entrée en vigueur le 25 mai 2018.

Bref historique

Dès 2012, le Conseil de l’UE évoquait la possibilité de renforcer les réglementations portant sur la confidentialité afin de protéger les droits des individus. Cette volonté s’expliquait par divers facteurs, en particulier le nombre croissant d’atteintes aux données personnelles dans le monde, ainsi que la publicité négative reçue par certaines entreprises du fait de la manière dont elles traitaient les données des usagers.

Avant l’instauration du RGPD, il existait déjà, dans l’UE, certaines lois régissant l’utilisation et la confidentialité des données. En octobre 1995, le Parlement européen a demandé l’application d’une directive ad hoc à laquelle la plupart des entreprises et états européens se sont conformés.

Cependant, car il devenait peu à peu nécessaire de mettre en place des mesures plus strictes, les dirigeants des états de l’UE se sont engagés dans divers pourparlers. Les discussions menées à ce sujet, ainsi que la création du RGPD, ont pris environ quatre ans. Le règlement a été publié en 2016 par l’UE afin de laisser suffisamment de temps aux organisations pour apporter les modifications nécessaires. La nouvelle législation était présentée comme une évolution de l’ancienne directive, et il fut souligné que les entreprises qui se conformaient déjà à celle-ci n’auraient qu’à effectuer certains ajustements.

Le RGPD, qui implique néanmoins des changements radicaux, est entré en application en mai 2018, date à laquelle les organisations se devaient d’avoir pris toutes les mesures requises.

Les entreprises basées hors d’Europe doivent-elles tenir compte du RGPD ?

Toute entreprise ou organisation qui collecte ou gère des données personnelles et conduit des activités au sein d’un pays membre de l’UE doit se conformer au RGPD. C’est également le cas de tout type de société qui commercialise et vend des biens auprès de clients résidant dans l’UE, ou fait affaire avec ces derniers.

Quels pays sont concernés par le RGPD ?

Le RGPD concerne tous les pays membres de l’UE. Ils incluent les suivants :

  • Autriche
  • Belgique
  • Bulgarie
  • Croatie
  • Chypre
  • République tchèque
  • Danemark
  • Estonie
  • Finlande
  • France
  • Allemagne
  • Grèce
  • Hongrie
  • Irlande
  • Italie
  • Lettonie
  • Lituanie
  • Luxembourg
  • Malte
  • Pays-Bas
  • Pologne
  • Portugal
  • Roumanie
  • Slovaquie
  • Slovénie
  • Espagne
  • Suède

D’autres régions sont également concernées par le RGPD, parmi lesquelles des pays de l’Espace économique européen (Norvège, Liechtenstein et Islande), des territoires autonomes comme les Açores, des départements d’outre-mer comme la Martinique, la Guadeloupe et des micro-états comme Saint-Marin.

Lors de l’entrée en vigueur du RGPD, le Royaume-Uni faisait encore partie de l’UE et se conformait aux directives du règlement. Néanmoins, car sa sortie de l’UE était prévue quelques années après, le pays a établi sa propre loi en la matière, le Data Protection Act, en 2018. Similaire au RGPD, des modifications ont cependant dû y être apportées après le Brexit. Les pays proposant des services à des clients basés au Royaume-Uni se soumettent donc à une réglementation qui reste proche.

Quelles données sont concernées par le RGPD ?

Le RGPD régit la manière dont les organisations collectent, gèrent et utilisent des données personnelles et sensibles :

  • Les données personnelles se rapportent à tout type d’information pouvant être utilisée afin d’identifier un individu. Les noms, les adresses, les numéros de téléphone, les adresses e-mail, les noms d’utilisateur, les adresses IP et les numéros de sécurité sociale sont considérés comme des données personnelles. D’éventuels pseudonymes peuvent également être englobés dans cette catégorie.
  • Les données sensibles constituent des données moins structurées pouvant se rapporter aux opinions politiques, aux croyances religieuses, à des informations médicales et à l’orientation sexuelle.

Exemples d’obligations induites par le RGPD

Le RGPD exige que les entreprises et autres entités se conforment à ses 99 articles et garantissent la protection des huit droits suivants pour les individus :

  1. Le droit d’être tenu informé des pratiques appliquées lors de la collecte de données, comme l’emploi de cookies lors de la consultation d’un site Web
  2. Le droit d’accéder aux informations personnelles fournies à une entreprise, notamment via l’obtention d’une copie de celles dont dispose cette dernière, à condition que son exercice ne porte pas atteinte aux droits d’autres personnes
  3. Le droit de demander la rectification d’erreurs dans les données personnelles détenues par une entreprise, en particulier dans des noms, des dates de naissance ou des données financières
  4. Le droit de mettre fin à l’autorisation de collecte ou de traitement des données, même après y avoir initialement consenti
  5. Le droit de limiter le traitement de certaines données (des conditions s’appliquant toutefois)
  6. Le droit d’obtenir, dans certains cas, des informations au sujet des données traitées automatiquement
  7. Le droit de s’opposer au traitement des données pour des motifs valables
  8. Le droit de refuser le profilage ou les décisions automatisées

Il incombe aux organisations, qui sont soumises au RGPD même si aucun de leurs clients ne réside dans l’UE, d’assurer les droits ci-dessus. En effet, toute entreprise qui commercialise ses produits au sein de cette dernière ou collecte n’importe quel type de données auprès des consommateurs est tenue de se conformer aux prérogatives.

Si un site Web invite des individus à s’abonner à sa newsletter en indiquant leurs noms et adresses e-mail, il procède à une collecte de données personnelles. En outre, si les accès à ce même site ne sont pas limités par géolocalisation, il est possible qu’une personne se trouvant dans un état de l’UE s’abonne à cette newsletter. Le RGPD s’applique alors.

La conformité au RGPD n’est pas facultative si les pratiques d’une organisation l’imposent. En cas de non-respect, les amendes encourues peuvent être relativement sévères, et atteindre 20 millions d’euros. Dans certains cas, ces amendes sont calculées sur la base du chiffre d’affaires global, ce qui peut conduire à un montant encore plus conséquent.

Que vous vendiez ou fassiez la promotion de biens dans le monde entier ou auprès de consommateurs basés dans l’UE, ou proposiez simplement un site Web accessible depuis tous les pays du globe, il est important de s’informer sur le RGPD. Ce dernier concerne les organisations de toutes tailles, qu’il s’agisse de PME, de grandes entreprises ou d’organismes à but non lucratif.