Qu'est ce que le RGPD ?

Qu'est ce que le RGPD ?
‍
Le mot « RGPD » veut dire : Règlement général sur la protection des données. Il est entré en application en mai 2018 et il est venu remplacer une directive européenne datant de 1995.Le RGPD constitue aujourd’hui le texte de référence en matière de protection des données personnelles dans l’Union européenne. Il s’agit du socle réglementaire commun pour tous les états membres en matière de protection des données personnelles. Chaque organisation dans chaque état membre de l’union européenne qui traite des données personnelles devra respecter le RGPD.

A qui s'applique le RGPD ?

Le RGPD s’applique à tous les traitements de données personnelles, sauf certaines exceptions notamment certains traitements en matière pénale ou en matière de sécurité qui restent régis par les Etats membres.

Le RGPD concerne tous les responsables du traitement (entreprises, fondations, associations, administrations et de manière générale tout organisme), et tous les sous-traitants établis dans l’Union européenne et ce quel que soit le lieu où sont effectivement traitées les données personnelles.

Par exemple, le RGPD s’applique à une entreprise française effectuant du ciblage publicitaire pour des personnes situées en Inde. Le RGPD s’applique également aux responsables du traitement et aux sous-traitants établis en dehors de l’Union européenne, dès lors qu’ils mettent en œuvre des traitements de données personnelles visant à fournir des biens ou des services à des résidents européens ou bien à les cibler directement c’est notamment le cas du profilage afin de prédire par exemple leurs préférences de consommation ou leur comportement.

Par exemple, le RGPD s’applique à une entreprise israélienne qui proposerait des prestations de services en ligne (par exemple de la formation), à des personnes résident en France.

Ainsi donc, le RGPD a vocation à s’appliquer à chaque fois que les données de résidents européens sont traitées, peu importe la localisation du responsable du traitement ou du sous-traitant. Le traitement peut avoir lieu au travers d’objets connectés ou bien par internet.

Quels sont les grands principes du RGPD ?

Le RGPD reprend et renforce des principes qui existaient déjà avant son entrée en application. Le RGPD vient également créer de nouvelles obligations et de nouveaux droits pour les personnes dont les données sont traitées (que l’on appelle « personnes concernées »).

Le RGPD impose aux responsables du traitement de fournir une information plus claire, transparente, accessible et simple à l’attention des personnes concernées au sujet du traitement de leurs données personnelles. Le RGPD vient encadrer de manière plus précise la notion de consentement, la notion de données sensibles, mais aussi les notions liées au profilage.

Le RGPD vient également créer de nouveaux droits pour les personnes concernées comme le droit à la portabilité des données, le droit à la notification de violation de données personnelles lorsque la violation comporte un risque élevé à l’attention des personnes concernées, le droit de créer une action de groupe, le droit à la réparation d’un dommage matériel ou moral en cas de violation du RGPD ayant entrainé un préjudice pour la personne concernée.

Le RGPD vient également et surtout renforcer la responsabilisation des acteurs traitant des données personnelles (responsable du traitement, sous-traitants…). Désormais, il n’est plus nécessaire (sauf exception) de réaliser les formalités préalables auprès de la CNIL comme c’était le cas avec auparavant avec notamment les normes simplifiées ou les déclarations. Aujourd’hui et depuis l’entrée en application du RGPD, les acteurs du traitement doivent mettre en place des mécanismes de conformité dès l’origine et par défaut du traitement. Le RGPD part du principe que l’on doit faire « confiance » aux acteurs dans leur respect de la réglementation. Les acteurs doivent ainsi mettre en œuvre des mesures de sécurité techniques et organisationnelles appropriées, dès la conception et par défaut, et doivent être en mesure d’en apporter la preuve en cas de contrôle.

Le RGPD vient également imposer certaines obligations spécifiques aux acteurs du traitement toujours dans cette logique de responsabilisation. En effet, dans certains cas, le RGPD vient imposer les obligations suivantes : l’obligation de réaliser une étude d’impact sur la vie privée (EIVP) ou analyse d’impact sur la vie privée (AIPD) ou data privacy impact assessment en anglais (DPIA), l’obligation de tenir un registre des activités de traitement, l’obligation de désigner un DPO, l’obligation de notifier une violation de données personnelles à la CNIL etc…

Le Cabinet Barbour est en mesure de vous accompagner dans chacune de vos démarches de mise en conformité au RGPD, et peut également agir en qualité de DPO externalisé. N’hésitez pas à contacter le Cabinet Barbour Avocat pour plus de renseignements.