Règlement Général sur la Protection des Données [RGPD]

Le RGPD est un règlement du Parlement européen et du Conseil de l’Union Européenne (référencé UE 2016/679) qui encadre le traitement des Données Personnelles sur l’ensemble du territoire de l’UE.  Adopté en 2016 et entré en vigueur en mai 2018, il vise à harmoniser la gouvernance des données personnelles au sein de ses états membres.

Les objectifs associés au RGPD :

• Renforcer les droits des personnes physiques, notamment par la création d’un droit à la portabilité des données personnelles (c.à d. essentiellement: récupération de ses données personnelles par l’intéressé, lisibilité et transfert de ses données d’un organisme à un autre) ainsi que par des dispositions propres aux personnes mineures ;
• Responsabiliser tous les acteurs traitant des données (ceux qui commandent les traitements ainsi que leurs sous-traitants) ;
• Concrétiser et affirmer la régulation par une coopération renforcée entre les autorités européennes et nationales qui pourront accorder leurs traitements transnationaux des données personnelles et leurs applications de sanctions en réponse aux dérives éventuelles.

Le périmètre  cible du RGPD :

• Il s’applique sans exceptions à toute Organisation publique ou privée (entreprise, collectivité, association) dès lors qu’elle traite des Données Personnelles (que ce soit pour son compte ou non), qu’elle est établie sur le territoire de l’UE ou que son activité cible directement des résidents européens.
• le RGPD ne s’applique pas uniquement aux données personnelles numérisées : les fichiers papier sont également concernés et doivent être protégés dans les mêmes conditions.
• Toute collecte de données personnelles doit être justifiée par une finalité. Ce qu’exige d’abord le RGPD, c’est la légitimité de la collecte de données au regard de la raison sociale de l’organisation qui la commande. Cette finalité doit être au cœur de l’activité principale de cette organisation.

Les bénéficiaires du RGPD :

• Ce nouveau règlement s’inscrit dans la continuité de la Loi française « Informatique et Libertés » de 1978 et tend à « redonner aux citoyens le contrôle de leurs données personnelles, tout en simplifiant l’environnement réglementaire des entreprises ».
• Il harmonise les règles en Europe et propose à toutes les organisations concernées un cadre juridique unifié. Il participe au développement de leurs activités numériques au sein de l’UE en fondant la confiance des utilisateurs. En imposant les mêmes obligations aux entreprises établies hors de l’Union Européenne dès lors qu’elles proposent des produits ou services aux résidents européens, il met fin aux distorsions de concurrence qui pouvaient désavantager les entreprises de l’Union.

Commentaires additionnels :

• Pour compléter cette présentation, voir le guide publié conjointement par la CNIL et BPI France à Guide-RGPD-TPE-PME
• GDPR pour « General Data Protection Regulation» est la traduction anglaise de RGPD.
• La loi du 20 juin 2018 relative à la protection des données personnelles adapte en l’état le RGPD à la loi interne française. Elle complète à l’occasion les missions de la CNIL qu’elle charge de l’accompagnement de la mise en oeuvre du règlement, de sa promotion, du  pouvoir de contrôle et de sanction relatif au respect de ses obligations.