Notion et signification du RGPD
Le Règlement général sur la protection des données (RGPD ; anglais : General Data Protection Regulation, GDPR) est le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données. Depuis le 25 mai 2018, il constitue le cadre juridique de la protection des données dans l’Union européenne (UE) et a en grande partie remplacé la directive sur la protection des données 95/46/CE ainsi que les lois nationales sur la protection des données, dans la mesure où celles-ci sont contraires au RGPD.
L’objectif du RGPD est d’harmoniser la protection des données à caractère personnel au sein de l’Union européenne et d’accorder aux personnes concernées des droits étendus concernant leurs données. En même temps, les entreprises et organisations doivent bénéficier d’une sécurité juridique lors du traitement de données personnelles et la libre circulation des données au sein du marché intérieur européen doit être assurée.
Champ d’application du RGPD
Champ d’application territorial
Le RGPD s’applique à tous les responsables du traitement et sous-traitants qui traitent les données personnelles de personnes concernées dans l’UE, indépendamment du lieu du traitement, que celui-ci ait lieu à l’intérieur ou à l’extérieur de l’UE (art. 3 RGPD). Par conséquent, les entreprises ayant leur siège hors de l’UE sont également soumises au RGPD lorsqu’elles proposent des biens ou des services à des personnes dans l’UE ou qu’elles surveillent le comportement de celles-ci.
Champ d’application matériel
Le règlement s’applique au traitement automatisé ainsi qu’au traitement non automatisé de données à caractère personnel, si ces données sont enregistrées ou doivent l’être dans un système de fichiers, ainsi qu’au traitement de données personnelles par des responsables de traitement et des sous-traitants du secteur privé et du secteur public.
Exceptions
Le RGPD ne s’applique pas aux traitements de données effectués par des personnes physiques dans le cadre d’activités purement personnelles ou familiales, ainsi qu’à certaines activités liées à la sécurité publique, à la défense ou à la sécurité de l’État.
Notions centrales du RGPD
Données à caractère personnel
Les données à caractère personnel sont toutes les informations se rapportant à une personne physique identifiée ou identifiable. Cela inclut par exemple le nom, l’adresse, l’adresse e-mail, le numéro de téléphone, mais aussi les identifiants en ligne ou les données de localisation.
Traitement
Le RGPD entend par traitement toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données à caractère personnel, telles que la collecte, l’enregistrement, la modification, la transmission ou la suppression de ces données.
Responsable du traitement
Le responsable du traitement est toute personne physique ou morale, autorité publique, organisme ou tout autre entité qui, seule ou conjointement avec d’autres, détermine les finalités et les moyens du traitement des données à caractère personnel.
Sous-traitant
Un sous-traitant est une personne physique ou morale qui traite des données personnelles pour le compte du responsable du traitement.
Principes fondamentaux de la protection des données selon le RGPD
Licéité, traitement loyal et transparent
Le traitement des données à caractère personnel n’est licite que s’il repose sur une base légale appropriée (p. ex. consentement, exécution d’un contrat, intérêt légitime). Le traitement des données doit se dérouler de manière compréhensible pour les personnes concernées.
Limitation de la finalité
Les données à caractère personnel ne doivent être collectées que pour des finalités déterminées, explicites et légitimes et ne doivent pas être traitées ultérieurement d’une manière incompatible avec ces finalités.
Minimisation des données
Seules les données à caractère personnel strictement nécessaires à la finalité poursuivie peuvent être traitées.
Exactitude
Il doit être garanti que les données à caractère personnel sont exactes et, si nécessaire, tenues à jour.
Limitation de la conservation
Les données à caractère personnel doivent être conservées sous une forme permettant l’identification des personnes concernées uniquement pendant la durée nécessaire à la réalisation des finalités du traitement.
Intégrité et confidentialité
Des mesures techniques et organisationnelles appropriées doivent être prises pour protéger les données à caractère personnel contre tout accès non autorisé, perte ou destruction.
Bases légales du traitement des données
Le RGPD définit six bases légales pour qu’un traitement de données soit licite (art. 6 RGPD) :
- Consentement de la personne concernée
- Exécution d’un contrat ou mesures précontractuelles
- Respect d’une obligation légale
- Protection des intérêts vitaux
- Exécution d’une mission d’intérêt public ou exercice de l’autorité publique
- Intérêt légitime du responsable du traitement ou d’un tiers, à moins que les intérêts ou les droits et libertés fondamentaux de la personne concernée ne prévalent
Pour les catégories particulières de données à caractère personnel (p. ex. données de santé), des conditions plus strictes s’appliquent (art. 9 RGPD).
Droits des personnes concernées
Droit d’accès (art. 15 RGPD)
Les personnes concernées ont le droit d’obtenir des informations sur les données personnelles enregistrées, leur origine, les destinataires, les finalités du traitement ainsi que d’autres informations.
Droit de rectification (art. 16 RGPD)
Des données à caractère personnel inexactes ou incomplètes doivent être rectifiées ou complétées à la demande de la personne concernée.
Droit à l’effacement (« droit à l’oubli », art. 17 RGPD)
Dans certaines conditions, les personnes concernées peuvent demander la suppression de leurs données, par exemple lorsque les données ne sont plus nécessaires aux finalités pour lesquelles elles ont été collectées ou en cas de retrait du consentement.
Droit à la limitation du traitement (art. 18 RGPD)
Le traitement peut être limité, par exemple aussi longtemps que l’exactitude des données est contestée ou que les données sont nécessaires à la personne concernée pour faire valoir des droits en justice.
Droit à la portabilité des données (art. 20 RGPD)
Sur demande, les données à caractère personnel doivent être fournies dans un format structuré, couramment utilisé et lisible par machine et, si la personne concernée le souhaite, être transmises à un autre responsable du traitement.
Droit d’opposition (art. 21 RGPD)
Les personnes concernées peuvent s’opposer au traitement de leurs données pour des raisons tenant à leur situation particulière, notamment en cas de traitement fondé sur l’intérêt légitime.
Droits relatifs aux décisions automatisées, y compris le profilage (art. 22 RGPD)
Dans certaines conditions, les personnes concernées ont le droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé, y compris le profilage.
Obligations des responsables du traitement et des sous-traitants
Analyse d’impact relative à la protection des données (AIPD)
Pour les traitements susceptibles d’entraîner un risque élevé pour les droits et libertés des personnes physiques, une analyse d’impact relative à la protection des données doit être réalisée en amont (art. 35 RGPD).
Registre des activités de traitement
Les responsables du traitement et les sous-traitants sont obligés de tenir un registre de toutes les activités de traitement (art. 30 RGPD).
Mesures techniques et organisationnelles
Des mesures techniques et organisationnelles appropriées doivent être prises pour garantir la sécurité des données personnelles (art. 32 RGPD).
Désignation d’un délégué à la protection des données
Dans certains cas, le RGPD (art. 37 et suivants) impose la désignation obligatoire d’un délégué à la protection des données, notamment lorsque l’activité principale consiste en un traitement à grande échelle de catégories particulières de données à caractère personnel.
Obligation de notification des violations de données à caractère personnel
Les atteintes à la protection des données doivent être signalées sans délai à l’autorité de contrôle compétente et, si possible, dans un délai de 72 heures (art. 33 RGPD). Les personnes concernées doivent également être informées en cas de violation de la protection de leurs données (art. 34 RGPD).
Autorités de contrôle et mécanismes de sanction
Autorités nationales de contrôle
Chaque État membre de l’UE institue des autorités de contrôle indépendantes chargées de veiller à l’application du RGPD. Celles-ci sont des points de contact pour les plaintes, effectuent des contrôles et disposent de pouvoirs étendus en matière de contrôle et de sanction.
Sanctions et amendes
En cas de non-respect du RGPD, des amendes importantes peuvent être infligées. Celles-ci peuvent atteindre jusqu’à 20 millions d’euros ou jusqu’à 4 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu (art. 83 RGPD).
Possibilités de recours
Les personnes concernées ont droit à un recours juridictionnel effectif contre les décisions des autorités de contrôle ainsi que contre les responsables du traitement ou les sous-traitants en cas de violation du RGPD.
Transferts internationaux de données
Un transfert de données à caractère personnel vers un pays tiers ou à une organisation internationale n’est autorisé que sous certaines conditions (art. 44 et suivants RGPD) :
- Décision d’adéquation de la Commission européenne
- Garanties appropriées existantes (p. ex. clauses types de protection des données)
- Consentement de la personne concernée ou situations d’exception spécifiques
Cette disposition vise à garantir que le niveau de protection des données lors d’un transfert vers des pays tiers ne soit pas inférieur à celui de l’UE.
Rapport avec les réglementations nationales et autres règlements de l’UE
Le RGPD est précisé et complété par des règles nationales telles que la Loi fédérale allemande sur la protection des données (BDSG), dans la mesure où le RGPD prévoit des clauses d’ouverture. D’autres règles telles que la directive ePrivacy ou des dispositions sectorielles de protection des données peuvent également s’appliquer.
Critiques et effets pratiques
Le RGPD a fortement sensibilisé les entreprises, les administrations et le public aux exigences en matière de protection des données. La complexité et les coûts de mise en œuvre, notamment pour les petites et moyennes entreprises, font souvent l’objet de critiques. Positivement, il faut saluer la norme uniforme à l’échelle européenne, qui favorise la confiance dans les processus et modèles commerciaux numériques.
Résumé
Le Règlement général sur la protection des données constitue le cadre juridique central en matière de protection des données dans l’Union européenne. Il vise à renforcer la protection des données à caractère personnel, à étendre les droits des personnes concernées et à harmoniser le marché intérieur européen en matière de libre circulation des données. Par des règles détaillées et des possibilités de sanctions, le RGPD requiert de tous ceux qui traitent des données personnelles un haut niveau de responsabilité et de transparence, tout en assurant une protection étendue des personnes concernées.
Questions fréquemment posées
Les entreprises doivent-elles désigner un délégué à la protection des données et dans quels cas cela est-il nécessaire ?
L’obligation de désignation d’un délégué à la protection des données est régie à l’article 37 du RGPD. Une entreprise doit désigner un délégué à la protection des données si elle traite à grande échelle des catégories particulières de données à caractère personnel conformément à l’article 9 du RGPD (par exemple des données de santé) ou des données à caractère personnel relatives à des condamnations pénales et à des infractions en vertu de l’article 10 du RGPD. La désignation d’un délégué à la protection des données est également requise lorsque l’activité principale de l’entreprise consiste en des opérations de traitement qui, par leur nature, leur ampleur et/ou leur finalité, nécessitent une surveillance régulière et systématique des personnes concernées (par exemple scoring, tracking, vidéosurveillance). De plus, la loi fédérale sur la protection des données (BDSG-neu) en Allemagne impose la désignation d’un délégué à la protection des données si au moins 20 personnes sont en permanence chargées du traitement automatisé de données à caractère personnel. La désignation doit être notifiée à l’autorité de contrôle compétente et ses coordonnées publiées. Le délégué à la protection des données peut être nommé en interne ou être externe, il bénéficie d’une protection spéciale contre le licenciement et dépend directement de la direction. Il a notamment pour mission de veiller au respect du RGPD, de former les salariés et de servir de point de contact pour les autorités et les personnes concernées.
Quand et dans quelle mesure une analyse d’impact relative à la protection des données doit-elle être réalisée ?
Une analyse d’impact relative à la protection des données (AIPD) est obligatoire selon l’article 35 du RGPD dès lors qu’un traitement – notamment avec recours à de nouvelles technologies – de par sa nature, sa portée, ses circonstances et ses finalités, est susceptible d’entraîner un risque élevé pour les droits et libertés des personnes physiques. Une AIPD est par exemple requise pour la surveillance étendue d’espaces publics, l’analyse systématique de données de santé, le profilage ou en cas de traitement massif de données sensibles. Dans le cadre d’une AIPD, l’objectif du traitement, la nécessité et la proportionnalité des opérations de traitement, les risques pour les personnes concernées ainsi que les mesures prévues pour réduire ces risques doivent être documentés. L’analyse doit être réalisée avant le début du traitement et transmise à l’autorité sur demande. Si les risques ne peuvent pas être suffisamment réduits malgré les mesures mises en œuvre, l’autorité de contrôle doit être consultée avant le début du traitement (art. 36 RGPD).
Quels sont les droits des personnes concernées concernant le traitement de leurs données ?
Le RGPD accorde aux personnes concernées de nombreux droits. Il s’agit notamment du droit d’accès (art. 15 RGPD), du droit de rectification (art. 16 RGPD), du droit à l’effacement (droit à l’oubli, art. 17 RGPD), du droit à la limitation du traitement (art. 18 RGPD), du droit à la portabilité des données (art. 20 RGPD), ainsi que du droit d’opposition au traitement (art. 21 RGPD). Les entreprises sont tenues d’informer les personnes concernées de leurs droits de manière transparente et de traiter les demandes conformes en principe dans un délai d’un mois, gratuitement. Une obligation particulière s’applique en cas de demande d’effacement : il convient de vérifier si des obligations légales de conservation s’opposent à la suppression, dans le cas contraire, la suppression doit être effectuée. L’exercice des droits ne peut être refusé sans motif impérieux ; il existe une obligation de preuve des mesures prises et de la communication avec la personne concernée.
Quand le traitement des données est-il licite selon le RGPD ?
La licéité du traitement des données est réglementée à l’article 6 du RGPD. En principe, le traitement de données à caractère personnel n’est autorisé que si au moins l’une des bases légales mentionnées à l’article est remplie. Il s’agit notamment du consentement de la personne concernée, de l’exécution d’un contrat ou de mesures précontractuelles, du respect d’une obligation légale, de la protection des intérêts vitaux, de l’exécution d’une mission d’intérêt public ou de l’exercice de l’autorité publique, ainsi que de la préservation des intérêts légitimes du responsable du traitement ou d’un tiers, dans la mesure où ceux-ci ne prévalent pas sur les intérêts ou les droits et libertés fondamentaux de la personne concernée. Chaque traitement doit faire l’objet d’un examen minutieux de la licéité ; la base légale retenue doit être documentée et justifiée.
Quelles obligations existent en cas de notification d’une violation de la protection des données ?
Une violation de la protection des données (Data Breach) est, conformément à l’art. 4 n° 12 RGPD, une atteinte à la sécurité entraînant la destruction, la perte, l’altération, la divulgation non autorisée ou l’accès non autorisé à des données à caractère personnel. Selon l’art. 33 RGPD, le responsable du traitement est tenu de notifier une violation de la protection des données à caractère personnel sans délai et, si possible, dans les 72 heures suivant la découverte de la violation, à l’autorité de contrôle compétente. La notification doit contenir des informations sur la nature de la violation, les types de données concernées, le nombre de personnes affectées, les conséquences probables ainsi que les mesures prises. Si la violation présente probablement un risque élevé pour les droits et libertés des personnes concernées, une information directe des personnes concernées selon l’art. 34 RGPD est également nécessaire. Il est recommandé aux entreprises de mettre en place une procédure interne de notification afin de respecter les délais et les obligations de documentation.
Quel rôle joue le registre des activités de traitement et qui doit le tenir ?
Le registre des activités de traitement, conformément à l’art. 30 RGPD, constitue un élément central de l’obligation de responsabilité. Il contient toutes les informations pertinentes sur les activités de traitement (notamment la finalité du traitement, la description des catégories de personnes concernées et de données, les destinataires, les transferts vers des pays tiers ainsi que les mesures techniques et organisationnelles). Tant les responsables du traitement que les sous-traitants sont tenus de tenir un tel registre et de le présenter à l’autorité de contrôle sur demande. Seules les très petites entreprises ou celles comptant moins de 250 employés en sont dispensées dans certains cas exceptionnels, à moins que le traitement n’entraîne un risque pour les droits et libertés des personnes concernées, ne soit pas seulement occasionnel, ou ne concerne des catégories particulières de données à caractère personnel.
Quand un transfert de données vers des pays tiers (hors UE/EEE) est-il autorisé ?
Un transfert de données à caractère personnel vers des pays tiers n’est autorisé, selon l’art. 44 et suivants du RGPD, que sous certaines conditions. Le transfert est permis si la Commission européenne a établi pour le pays tiers concerné un niveau de protection adéquat (décision d’adéquation). En l’absence d’une telle décision, des garanties appropriées sont requises, par exemple via des clauses contractuelles types, des règles d’entreprise contraignantes (BCR) ou d’autres instruments approuvés par l’autorité de contrôle. Dans certains cas particuliers (par exemple consentement explicite de la personne concernée, exécution d’un contrat), un transfert peut avoir lieu sans ces garanties. Les responsables doivent examiner et documenter les conditions ainsi que les risques de tels transferts, et informer les personnes concernées des risques.
Quelles sanctions encourt-on en cas de violation du RGPD ?
En cas de violations du RGPD, les entreprises s’exposent à de lourdes amendes conformément à l’art. 83 RGPD. Selon la gravité de la violation, des sanctions pouvant aller jusqu’à 20 millions d’euros ou, pour les entreprises, jusqu’à 4 % du chiffre d’affaires annuel mondial (selon le montant le plus élevé) peuvent être infligées. Le montant de l’amende est déterminé en prenant en compte la nature, la gravité et la durée de la violation, l’intention ou la négligence, les mesures prises pour limiter le dommage, la coopération avec l’autorité de contrôle, les violations antérieures pertinentes et la nature des données à caractère personnel concernées. Outre les amendes, il est également possible d’ordonner des mesures telles que l’interdiction de certains traitements de données. Les entreprises doivent mettre en place une gestion durable de la protection des données pour éviter les sanctions.
