Synthèse sur les bases du RGPD en France (Règlement général sur la protection des données)

, Synthèse sur les bases du RGPD en France (Règlement général sur la protection des données)

Synthèse sur les bases du RGPD en France (Règlement général sur la protection des données)

  • Auteur/autrice de la publication :
  • Post category:Normes

Le Règlement Général sur la Protection des Données (RGPD, n° 2016/679) est une réglementation européenne entrée en vigueur le 25 mai 2018.

Il s’applique directement dans tous les États membres de l’Union européenne, dont la France.

 

Définitions clés

  • Donnée à caractère personnel : toute information se rapportant à une personne physique identifiée ou identifiable (nom, e‑mail, IP, etc.)
  • Traitement : toute opération ou ensemble d’opérations effectuées sur des données (collecte, enregistrement, conservation, consultation, modification, effacement…)
  • Responsable de traitement : personne physique ou morale qui détermine les finalités et les moyens du traitement
  • Sous‑traitant : personne physique ou morale qui traite des données pour le compte du responsable de traitement

 

Principes fondamentaux

  • Licéité, loyauté et transparence : chaque traitement doit reposer sur une base légale (consentement, contrat, obligation légale, intérêt légitime…)
  • Limitation des finalités : collecte pour des finalités explicites, légitimes et non incompatibles
  • Minimisation des données : ne traiter que les données strictement nécessaires par rapport aux finalités
  • Exactitude : veille à ce que les données soient à jour et rectifiées si nécessaire
  • Limitation de la conservation : les données ne sont pas conservées au‑delà de la durée nécessaire à la finalité
  • Intégrité et confidentialité : sécurisation des données contre la perte, la destruction ou l’accès non autorisé

 

Droits des personnes concernées

  • Droit d’information : obligation de fournir des mentions claires (identité du responsable, finalités, durée de conservation, droit d’accès…)
  • Droit d’accès : obtenir une copie des données traitées
  • Droit de rectification : faire corriger des données inexactes
  • Droit à l’effacement (« droit à l’oubli ») : sous conditions (données non plus nécessaires, consentement retiré, etc.)
  • Droit à la limitation du traitement : suspension de l’usage des données
  • Droit à la portabilité : recevoir et réutiliser ses données dans un format structuré, couramment utilisé et lisible par machine
  • Droit d’opposition : s’opposer, pour des motifs légitimes, au traitement
  • Droit d’introduire une réclamation auprès de la CNIL

 

Obligations des organisations

  • Registre des traitements : tenir à jour la liste des activités de traitement (désormais exigé sauf pour micro‑entreprises sans risque élevé)
  • Analyse d’impact (AIPD) : nécessaire pour les traitements à haut risque (profilage, surveillance publique, traitement de données sensibles…)
  • Sécurité : mise en place de mesures techniques et organisationnelles adaptées (chiffrement, pseudonymisation, plan de reprise…)
  • Contrats avec les sous‑traitants : inclure des clauses types réglementaires pour encadrer le traitement externalisé
  • Désignation d’un Délégué à la Protection des Données (DPO) : obligatoire pour les autorités et organismes publics, les organismes avec des activités de base pour du suivi régulier et systématique des personnes à grande échelle, les organismes avec des activités de base pour le traitement à grande échelle des données dites « sensibles » et relatives à des condamnations pénales ou infractions
  • Notification des violations de données : informer la CNIL dans les 72 heures en cas de fuite ou de piratage, et les personnes concernées si le risque est élevé

 

Autorité de contrôle : la CNIL

  • Rôle : conseiller, contrôler et sanctionner
  • Moyens : enquêtes sur place, mises en demeure, injonctions, sanctions pécuniaires (jusqu’à 20 M € ou 4 % du chiffre d’affaires mondial annuel)
  • Guides et formalités : la CNIL fournit des recommandations sectorielles, propose des modèles de registre, d’AIPD et gère les déclarations via son site

 

Sanctions et bonnes pratiques

  • Sanctions administratives : avertissements, injonctions, amendes financières (exemples récents : amendes de plusieurs millions d’euros contre de grandes entreprises pour manquements)
  • Sanctions pénales : en cas de délits (collecte frauduleuse de données, atteinte à la vie privée)
  • Culture de la confidentialité by design et by default : intégrer la protection des données dès la conception des systèmes et paramétrer par défaut les niveaux de confidentialité les plus élevés
  • Formation et sensibilisation : accompagner les équipes (DPO, RSSI, développeurs, marketing) pour réduire les risques humains