Accueil ' Ressources ' Articles 'Qu'est-ce que le GDPR? Résumé du règlement général...

Qu'est-ce que le GDPR? Résumé du règlement général sur la protection des données

Couvert par Termly

Par : Teodor Stanciu, CIPP/E, CIPM Teodor Stanciu, CIPP/E, CIPM | Mise à jour le : 1er novembre 2024

Révisé par : Masha Komnenic CIPP/E, CIPM, CIPT, FIP Masha Komnenic CIPP/E, CIPM, CIPT, FIP

Se conformer au GDPR gratuitement
Qu'est-ce que le RGPD ? Les bases du règlement général de l'GDPR sur la protection des données-01

Le règlement général sur la protection des donnéesGDPR est devenu applicable en Europe en 2018 et a presque immédiatement changé la façon dont les entreprises collectent et traitent les informations personnelles dans le monde entier - il est fort probable qu'il ait même un impact sur la vôtre.

Son objectif est de protéger les droits à la vie privée des personnes dans l'Union européenne (UE) et l'Espace économique européen (EEE) en leur permettant de contrôler la manière dont leurs données personnelles sont utilisées en ligne.

Elle énonce plusieurs règles et principes que les entreprises doivent respecter sous peine de se voir infliger de lourdes amendes.

Pour aider les entreprises à comprendre le règlement, j'ai créé ce résumé duGDPR dans lequel j'explique sa portée juridique, qui il protège, ce que vous devez faire pour vous conformer, et les coûts potentiels de la violation de la loi sur la confidentialité des données la plus stricte au monde.

Table des matières
  1. Qu'est-ce que le GDPR?
  2. Qui doit se conformer au GDPR?
  3. Définitions clés du GDPR
  4. Sanctions en cas de non-respect des règles
  5. La prise en compte du GDPR...
  6. Exigences du GDPR pour les entreprises
  7. Comment les règles du GDPR affectent-elles les utilisateurs et les consommateurs ?
  8. L'effet mondial du GDPR
  9. Comment les entreprises américaines sont-elles affectées par le GDPR l'UE ?
  10. Que signifie le GDPR pour l'avenir ?
  11. FAQ sur GDPR
  12. Résumé

Qu'est-ce que le GDPR?

J'aime décrire le GDPR de deux façons.

Il s'agit d'un règlement européen sur la protection de la vie privée qui confère aux citoyens de l'UE/EEE des droits et un contrôle sur leurs informations personnelles. Mais il fixe également des règles et des principes spécifiques que les entreprises du monde entier doivent respecter pour traiter ces précieuses données en toute légalité.

Le GDPR a créé un cadre juridique consolidé pour la protection des données dans tous les États membres de l'UE, ainsi qu'en Islande, au Lichtenstein et en Norvège, qui font partie du marché unique de l'EEE.

Elle donne la priorité aux droits individuels des personnes concernées et tient les entreprises pour responsables des fuites et des violations de données.

L'histoire intéressante du GDPR

Le GDPR a une histoire intéressante, voire tumultueuse, que j'évoquerai brièvement avant de parler de ses exigences légales spécifiques.

La mise en œuvre du GDPR a marqué un tournant pour la protection de la vie privée dans notre ère numérique actuelle, quelque peu nouvelle, du big data.

Alors que les dirigeants européens ont initialement approuvé le GDPR en 2016, il est entré en vigueur le 25 mai 2018, laissant aux États membres de l'UE et aux entreprises du monde entier deux ans pour s'y préparer.

Deux ans, cela semble beaucoup de temps pour se préparer. Cependant, de nombreuses organisations ne savent pas exactement quelles sont les exigences du GDPR et si et quand elles doivent s'y conformer.

Cette incertitude - et ce manque de préparation - les exposent à des amendes importantes en cas de non-conformité (je parlerai des risques financiers liés à la violation du GDPR plus loin dans ce guide).

Ce règlement a remplacé la directive européenne sur la protection des données (DPD) de 1995.

Bien entendu, l'environnement des données était très différent au milieu des années 90 de ce qu'il est en 2016. Le World Wide Web était encore jeune et les smartphones ne se trouvaient pas dans les poches des consommateurs.

Le RGPD a été mis en œuvre séparément par les États membres de l'UE et de l'EEE et variait considérablement d'une juridiction à l'autre. En revanche, le texte du GDPR était directement applicable, affectant tous les États membres de l'UE, et son langage reflète mieux le traitement moderne des données.

En fait, le GDPR a même été utilisé pour tenter de réglementer la technologie de l'intelligence artificielle (IA) dans des pays comme l'Italie - en 2022, l'autorité de surveillance italienne a infligé une amende de 20 millions d'euros à Clearview AI pour avoir stocké des données biométriques et de géolocalisation sans disposer d'une base juridique appropriée pour le faire en vertu du GDPR (IAPP).

Le règlement continue d'inciter d'autres régions du monde à adopter des lois contenant des principes similaires en matière de confidentialité des données, ce qui prouve qu'il aura sans aucun doute une influence durable sur nos vies à tous.

Qui doit se conformer au GDPR?

Je constate que la plupart des chefs d'entreprise sont surpris d'apprendre à quel point le champ d'application du GDPR est vaste.

Le GDPR s'applique aux entités et entreprises du monde entier qui traitent des données personnelles et ciblent les personnes concernées de l'UE/EEE - directement ou indirectement - de l'une ou l'autre des manières suivantes :

  • Proposer des biens ou des services à des personnes de l'UE/EEE, même si aucune transaction monétaire n'a lieu.
  • Surveille les comportements en ligne des citoyens de l'UE/EEE

Cette application signifie que les entreprises opérant en dehors de l'Europe peuvent tomber sous le coup de la loi, soit en tant que responsables du traitement des données, soit en tant que sous-traitants, une distinction que j'aborderai dans quelques instants.

Je le trouve également intéressant en ce qui concerne l'inclusion des personnes qu'il couvre. Le GDPR protège les individus dans l'UE ou l'EEE, indépendamment de leur nationalité ou de leur statut de citoyen, et les désigne comme des personnes concernées, comme l'explique le chapitre 1, article 3 du règlement.

Définitions clés du GDPR

Maintenant que vous connaissez les bases du GDPR , je vous suggère de vous familiariser avec les définitions juridiques de plusieurs expressions clés utilisées dans le règlement afin de simplifier votre processus de mise en conformité.

Dans le tableau ci-dessous, je vous présente la définition de ces mots essentiels telle qu'elle apparaît dans le GDPR et je vous donne une version simplifiée de leur signification.

Durée Définition juridique précise Définition simplifiée
Données personnelles "... toute information concernant une personne physique identifiée ou identifiable ("personne concernée") ; une personne physique identifiable est une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne ou à un ou plusieurs éléments spécifiques propres à l'identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale de cette personne physique ;"

(Chapitre 1, article 4, partie 1)

 Informations concernant une personne et permettant de l'identifier directement ou indirectement, par exemple :
Traitement "... toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la divulgation par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, la limitation, l'effacement ou la destruction ;"

(Chapitre 1, article 4, partie 2)

 Effectuer l'une des actions suivantes sur une pièce ou un ensemble de pièces les données personnelles :

  • Collecte
  • Enregistrement
  • Organiser
  • Structuration
  • Stockage
  • Adaptation
  • Modification
  • Récupération
  • Conseil
  • Utilisation
  • Divulgation
  • Diffusion
  • Mise à disposition
  • Alignement
  • Combinaison
  • Restriction
  • Effacement
  • Détruire
Consentement "...toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par une action positive claire, que des données à caractère personnel la concernant fassent l'objet d'un traitement ;"

(Chapitre 1, article 4, partie 11)

 Lorsqu'un personne concernée accepte librement le traitement des données en effectuant une action affirmative et claire (comme cocher une case, cliquer sur un bouton intitulé "J'accepte", l'écrire sur un bout de papier ou signer un document à cet effet) et a accès à une politique de confidentialité conforme qui l'informe sur les activités de traitement des données de l'entité et l'a lue.

*Il s'agit d'une définition importante à laquelle il faut prêter attention si votre entreprise s'appuie sur le consentement comme base juridique pour le traitement des données à caractère personnel.
Responsable du traitement des données "...la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement de données à caractère personnel ; lorsque les finalités et les moyens de ce traitement sont déterminés par le droit de l'Union ou des États membres, le responsable du traitement ou les critères spécifiques pour sa désignation peuvent être prévus par le droit de l'Union ou des États membres ;"

(Chapitre 1, article 4, partie 7)

 Toute personne physique ou entité qui détermine la raison et les moyens du traitement des données à caractère personnel relatives aux personnes concernées (par exemple, les clients, les utilisateurs, les visiteurs du site web, etc.)
Responsable du traitement des données une personne physique ou morale, une autorité publique, une agence ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement ;(chapitre 1, article 4, partie 8) Tout tiers chargé par un responsable du traitement de traiter des données à caractère personnel sur la base des instructions fournies par le responsable du traitement et en son nom.

Je continuerai à utiliser ces termes tout au long de ce guide GDPR , n'hésitez donc pas à vous référer aux définitions chaque fois que nécessaire.

Sanctions en cas de non-respect des règles

La violation du GDPR entraîne de lourdes amendes et une surveillance publique. Et croyez-moi, vous ne voulez pas finir sur notre liste des plus grosses amendes GDPR de tous les temps.

  • Les entreprises qui enfreignent de manière significative le règlement visé à l'article 83, paragraphe 5, du GDPR s'exposent à une sanction maximale de 20 millions d'euros (22,5 millions de dollars) ou de 4 % de leur chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu.
  • Les infractions moins graves, énumérées à l'article 83, paragraphe 4, du GDPR, peuvent atteindre 10 millions d'euros (12 millions de dollars) ou jusqu'à 2 % du chiffre d'affaires annuel mondial de l'entreprise.

En outre, les autorités peuvent émettre un blâme public ou restreindre l'activité de collecte de données, en interdisant par exemple à une entreprise de traiter les informations des personnes concernées par GDPR . Ces restrictions peuvent être imposées de manière temporaire ou permanente.

La première pénalité GDPR significative (environ 50 millions d'euros) a été émise en janvier 2019 et ne s'est pas arrêtée là - le règlement a actuellement accumulé un total de 4 milliards d'euros (4,5 milliards de dollars) d'amendes au total. Avertissement.

La prise en compte du GDPR...

Dans les sections suivantes, j'aborderai le point de vue du GDPRsur plusieurs sujets essentiels qui ont un impact sur les entreprises et leurs consommateurs.

Sept principes fondamentaux GDPR

Le texte du GDPR (chapitre 2, article 5) énonce sept principes fondamentaux que les entités doivent respecter pour traiter légalement les données à caractère personnel.

Ces principes sont les suivants

  1. Légalité, équité et transparence
  2. Limitation de l'objet
  3. Minimisation des données
  4. Précision
  5. Limitation du stockage
  6. Intégrité et confidentialité (sécurité)
  7. Responsabilité

Mais je constate que la plupart des entreprises ne comprennent pas toujours l'objectif du GDPR , la signification de ces principes fondamentaux ou ce à quoi ils font référence en matière de respect de la vie privée. Je vais donc prendre le temps de vous expliquer chacun d'entre eux.

Légalité, équité et transparence

Selon le GDPR, tout traitement de données effectué par une entité doit être légal. Vous devez traiter les informations de manière loyale et dans le meilleur intérêt des personnes concernées.

Les entreprises ne peuvent pas induire les utilisateurs en erreur sur les objectifs ou les activités de traitement des données.

Vous devez informer de manière transparente vos utilisateurs des informations que vous recueillez auprès d'eux, de la base juridique sur laquelle vous vous appuyez pour le faire et de l'utilisation qui en est faite - y compris si vous les partagez avec des tiers et quels sont leurs droits.

Limitation de l'objet

En vertu du GDPR, les entreprises doivent collecter et traiter les données à caractère personnel uniquement aux fins qu'elles ont explicitement spécifiées aux personnes concernées.

Cela signifie que vous ne pouvez pas traiter les données à caractère personnel au-delà de ces finalités, sauf si le traitement ultérieur est considéré comme compatible avec les finalités pour lesquelles les données à caractère personnel ont été collectées à l'origine. C'est ce que l'on appelle la limitation de la finalité.

Vous devez indiquer clairement la finalité du traitement dès le départ, l'enregistrer d'une manière ou d'une autre, et elle ne peut être modifiée que si vous obtenez à nouveau le consentement de vos utilisateurs.

Toutefois, l'archivage de données à des fins d'intérêt public, de recherche scientifique ou historique, ou à des fins statistiques n'est pas soumis à une limitation de la finalité, pour autant que vous respectiez toutes les dispositions énoncées au chapitre 9, article 89 du GDPR

Minimisation des données

Les entreprises qui relèvent de la compétence du GDPR ne peuvent collecter que des données à caractère personnel adéquates, pertinentes et limitées à ce qui est nécessaire aux fins exposées aux personnes concernées pour le traitement des données.

En d'autres termes, vous ne devez collecter que les données nécessaires à la finalité déclarée du traitement - vous ne pouvez pas inventer n'importe quelle raison pour collecter autant de données que possible.

La mise en œuvre pratique de ce principe nécessite l'application de deux concepts : la nécessité (le traitement des données est-il nécessaire ?) et la proportionnalité (le traitement est-il proportionnel ?) au traitement des données à caractère personnel.

Précision

Selon le GDPR, vous devez prendre des mesures raisonnables pour vous assurer que les données personnelles que vous collectez sont exactes et à jour, chaque fois que cela est nécessaire. Cette action est nécessaire car il existe des risques évidents pour les personnes concernées si des informations inexactes sont traitées.

Par conséquent, les entreprises doivent également prendre toutes les mesures possibles pour corriger ou rectifier les données inexactes sans retard injustifié (dans les limites du raisonnable, bien entendu).

Limitation du stockage

Le GDPR stipule clairement que les entreprises ne doivent pas conserver les données personnelles plus longtemps que nécessaire au regard de la finalité pour laquelle les données ont été initialement traitées.

La seule exception est à des fins d'archivage concernant l'intérêt public, la recherche scientifique ou historique, ou à des fins statistiques, auquel cas vous pouvez stocker les données pour des périodes plus longues, comme indiqué au chapitre 9, article 89 du GDPR

Intégrité et confidentialité (ou sécurité)

En vertu du GDPR, votre entreprise doit prendre les mesures techniques et organisationnelles appropriées pour protéger les données à caractère personnel contre le traitement non autorisé ou illégal, la perte accidentelle, la destruction et les dommages. En d'autres termes, vous devez éviter tout risque de fuite ou de violation de données.

L'utilisation irresponsable des données personnelles des personnes concernées peut vous attirer des ennuis !

Le GDPR peut tenir les entreprises financièrement responsables si elles sont victimes d'une telle cybercriminalité en raison de mesures de sécurité inadéquates.

En outre, vous devez notifier toute fuite ou violation de données à l'autorité compétente en matière de protection des données dans les plus brefs délais, et au plus tard 72 heures à compter du moment où vous avez pris connaissance de cette violation.

Si la violation de données est susceptible d'entraîner un risque élevé pour les droits et libertés des personnes concernées, vous devez également les informer.

En raison de ce principe fondamental, votre entreprise doit prendre les mesures de sécurité appropriées pour s'assurer que les données que vous traitez sont anonymisées, cryptées ou au moins pseudonymisées afin de réduire la probabilité d'une violation grave des données.

Responsabilité

La responsabilité est l'un des principes les plus importants du GDPR.

Selon le GDPR, les organisations doivent démontrer qu'elles respectent les six principes précédents que je viens d'évoquer, connus sous le nom de principe de responsabilité. L'idée est que les organisations doivent être responsables de la collecte et du traitement des informations concernant les personnes.

Ils doivent se l'approprier et en prendre soin tout au long du cycle de vie des données. Ce faisant, l'organisation peut être tenue responsable de ses actions et de ses inactions.

Si vous pensez être GDPR mais que vous ne pouvez pas le prouver, vous ne l'êtes techniquement pas.

Voici quelques moyens de prouver que votre entreprise est compatible avec le GDPR :

  • Publier une politique de confidentialité actualisée et précise, accessible à toutes les personnes concernées de l'UE/EEE.
  • Utiliser des formulaires de demande d'accès des personnes concernées(DSAR) sur votre plateforme afin que les personnes concernées de l'UE/EEE puissent facilement faire valoir leurs droits en matière de protection de la vie privée.
  • Veiller à utiliser des accords de traitement des données(ATD) adéquats avec tout tiers ayant accès à vos données d'utilisateur, conformément aux obligations contractuelles énoncées au chapitre 4, article 28 du règlement.
  • Désigner un délégué à la protection des données (DPD) si nécessaire.
  • Former votre personnel aux meilleures pratiques en matière de confidentialité des données et de cybersécurité.
  • Documentez en détail les mesures de sécurité utilisées pour protéger de manière adéquate les données de vos utilisateurs.
  • Connaître les droits des personnes concernées et être prêt à les aider rapidement.

Le respect de la vie privée dès la conception et par défaut (PbD)

Le GDPR décrit ce que l'on appelle le Privacy by Design and by Default ou PbD, ce qui signifie simplement que vous devez vous efforcer d'intégrer la protection des données au cœur même de votre activité, dès la phase de conception et tout au long du cycle de vie de l'activité de traitement.

En faisant de la protection des données un élément essentiel de votre activité, vous pouvez mieux anticiper les risques et les violations de données avant qu'ils ne se produisent. Vous pouvez ainsi offrir aux individus un environnement plus sûr et une plus grande confiance dans votre entreprise.

Je dis souvent aux entreprises que c'est comme une garantie pour vos clients que vous gardez à l'esprit la sûreté et la sécurité de leurs informations personnelles lorsque vous planifiez vos protocoles de collecte et de traitement des données.

La PbD n'est pas un concept nouveau dans le domaine de la protection des données. Toutefois, le GDPR en fait une exigence légale officielle pour les personnes concernées au sein de l'UE/EEE.

Vous devez intégrer l'intégrité des données à chaque étape de la conception du produit et la garder à l'esprit de manière proactive à tous les stades du développement.

Conditions de traitement légal des données à caractère personnel

Pour traiter légalement des données à caractère personnel en vertu du GDPR, vous devez indiquer votre base juridique pour chaque catégorie d'informations que vous utilisez.

Le GDPR définit les bases légales suivantes comme des raisons valables pour le traitement des données :

Consentement

Vous ne pouvez vous appuyer sur le consentement que si vous offrez aux personnes concernées le contrôle et le choix véritable d'accepter ou de refuser les conditions proposées sans nuire à vos activités de traitement.

Vous devez également respecter les conditions spécifiques définies par le GDPR pour disposer d'une base légale valide pour la collecte d'informations personnelles. Comme il s'agit d'une base juridique courante pour les entreprises, nous l'abordons plus en détail dans la section suivante.

Exécution du contrat

Si le traitement est nécessaire à l'exécution d'un contrat qui inclut la personne concernée, il s'agit alors d'un motif légitime pour traiter les informations relatives à l'utilisateur.

Intérêt légitime

Si le traitement des données est nécessaire pour vos intérêts légitimes, cette base juridique s'applique, à moins que ces intérêts légitimes ne l'emportent sur les droits et libertés des personnes concernées.

Intérêt vital

Cette règle s'applique dans les situations de vie ou de mort et concerne le traitement de données nécessaires à la protection des intérêts vitaux d'une personne concernée.

Exigence légale

Cette base juridique s'applique lorsque le traitement est nécessaire pour remplir une obligation légale.

Intérêt public

Cela s'applique lorsque le traitement des données est nécessaire à l'exécution d'une tâche dans l'intérêt du grand public et s'applique généralement aux entités publiques ou privées qui exécutent des tâches dans l'intérêt du public.

Veillez à expliquer clairement et à prouver votre base juridique pour chaque type d'informations personnelles que vous collectez dans une politique de confidentialitéGDPR.

Il est important de souligner qu'il n'y a pas de hiérarchie entre les bases juridiques, à l'exception de l'"intérêt légitime", qui ne doit être utilisé qu'en dernier recours, lorsqu'aucune autre base juridique ne peut être invoquée.

En outre, vous devez déterminer la base légale avant de traiter des données à caractère personnel. Il est important de bien faire les choses dès la première fois. Changer de base juridique est susceptible d'être injuste pour les personnes concernées et peut conduire à des violations des exigences en matière de responsabilité et de transparence.

Le consentement dans le cadre du GDPR

Le consentement est l'une des bases légales pour le traitement des données à caractère personnel en vertu du GDPR, mais votre entreprise doit être en mesure de démontrer plusieurs conditions spécifiques définies par le règlement.

Le GDPR définit le consentement valide au chapitre 1, article 4, et pour vous aider à mieux comprendre cette définition, je l'ai décomposée en ses parties essentielles :

  • Librement consenti : Vos utilisateurs doivent avoir véritablement le choix et le contrôle d'accepter vos pratiques de collecte de données et ne peuvent être contraints ou forcés.
  • Spécifique : si un utilisateur consent à vos activités de traitement, vous ne pouvez pas combiner ce choix affirmatif avec d'autres éléments ou l'alourdir d'une manière qui pourrait dérouter la personne concernée.
  • Informé : Vos utilisateurs doivent savoir ce qu'ils acceptent, ce qui implique de fournir une explication facile à lire concernant les données que vous collectez, la raison pour laquelle vous en avez besoin, la manière dont vous les utiliserez et les personnes avec lesquelles vous les partagerez. Ce principe est étroitement lié aux principes de loyauté et de légalité expliqués ci-dessus.
  • Indication sans ambiguïté : Les utilisateurs doivent indiquer qu'ils acceptent vos pratiques de traitement des données par une motion ou une déclaration active, par exemple en cochant une case ou en cliquant sur un bouton "J'accepte". Ce consentement ne peut pas être confondu avec l'acceptation d'autres choses, comme des courriels de marketing ou des bulletins d'information. Il doit donc être clair que la personne concernée consent à une activité de traitement particulière.
  • Action positive : Les utilisateurs doivent prendre des mesures évidentes pour exprimer leur accord avec vos activités de traitement des données. Demandez-leur de sélectionner un bouton "Accepter" clairement identifié, de remplir activement un formulaire ou de cocher une case non marquée pour exprimer leur approbation.

Le GDPR énonce les conditions suivantes pour le consentement au chapitre 4, article 7, que vous devez respecter pour utiliser le consentement comme base juridique valide pour le traitement des données :

  • Vous devez être en mesure de prouver que vous avez obtenu le consentement de vos utilisateurs pour traiter leurs données.
  • S'ils donnent leur consentement par le biais d'une déclaration écrite et que celle-ci porte également sur d'autres questions, vous devez la présenter de manière à ce qu'elle soit facilement distinguable, intelligible et présentée dans un format accessible.
  • Vos utilisateurs ont le droit de retirer leur consentement à tout moment, et ce processus doit être aussi simple que de donner son consentement.
  • Le consentement est présumé ne pas avoir été donné librement s'il ne permet pas de donner un consentement distinct pour différents traitements de données à caractère personnel, bien que cela soit approprié dans chaque cas, ou si l'exécution d'un contrat, y compris la fourniture d'un service, dépend du consentement alors que celui-ci n'est pas nécessaire à l'exécution du contrat.

Les informations doivent être accessibles et rédigées dans un langage compréhensible par le commun des mortels. Les utilisateurs doivent savoir ce qu'ils acceptent et l'utilisation de leurs données ne doit pas aller au-delà de ce qui a été spécifié.

Pour décrire le consentement dans le cadre du GDPR en quelques mots : des pages interminables de jargon juridique et des cases pré-cochées ne suffisent plus.

Lignes directrices sur le stockage et la sécurité des données

Selon le GDPR, les entreprises sont responsables de la protection des données personnelles contre les atteintes à la cybersécurité ou les fuites, qui conduiraient notamment à un accès non autorisé, à l'indisponibilité des données personnelles ou à une perte d'intégrité.

Elle précise également que les entités ne doivent conserver les informations qu'aussi longtemps que nécessaire pour atteindre les objectifs initiaux présentés aux personnes concernées.

Il vous appartient d'évaluer le niveau de risque des données que vous collectez et d'appliquer les garanties appropriées tout en tenant compte des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement.

Toutefois, le chapitre 4, article 32 du GDPR recommande de prendre les mesures suivantes :

  • Pseudonymisation et cryptage des données.
  • Assurer en permanence la confidentialité, l'intégrité, la disponibilité et la résilience des systèmes de traitement.
  • Fournir la capacité de restaurer la disponibilité et l'accès aux données en cas d'incident.
  • Un processus de test, d'évaluation et d'appréciation de l'efficacité des mesures techniques et organisationnelles

Délégués à la protection des données (DPD)

Selon le chapitre 4, article 37, vous devez désigner un DPD si

  • Une autorité publique effectue le traitement des données.
  • Les activités et les finalités du responsable du traitement ou du sous-traitant nécessitent un suivi systématique des personnes concernées à grande échelle (par exemple, le profilage).
  • Vous traitez des catégories de données sensibles à grande échelle (comme les condamnations pénales, les données relatives à la santé, les opinions politiques, les données relatives au sexe, etc.)

Certaines questions peuvent découler des conditions énumérées ci-dessus.

  • Qu'est-ce qu'une autorité publique ? Cela doit être déterminé par le droit national de chaque État membre.
  • Quelles sont les activités principales ? Il s'agit des opérations clés nécessaires pour atteindre vos objectifs, que vous agissiez en tant que responsable du traitement ou sous-traitant.
  • Qu'est-ce qu'une grande échelle ? Pour déterminer si le traitement est effectué à grande échelle, il convient de tenir compte des éléments suivants :

    • Le nombre de personnes concernées - soit en tant que nombre spécifique, soit en tant que proportion de la population concernée.
    • Le volume de données et/ou l'éventail des différents éléments de données traités.
    • La durée ou la permanence de l'activité de traitement des données.
    • L'étendue géographique de l'activité de traitement.

La nomination d'une personne chargée de superviser toutes les procédures liées à la protection des données est essentielle pour assurer la conformité au GDPR

Les DPD ne sont pas personnellement responsables en cas de non-conformité et ils doivent être indépendants dans l'exercice de leurs fonctions. Les DPD doivent également disposer d'une ligne de communication directe avec l'encadrement supérieur, par exemple avec le PDG de l'entreprise.

Évaluations de l'impact de la protection des données (DPIA)

Il se peut que vous deviez évaluer certains risques à l'avance si votre traitement de données - que vous utilisiez une nouvelle technologie ou en raison de la nature, de la portée et du contexte de l'activité de traitement - entraîne un risque élevé pour les droits et libertés des personnes concernées.

Il convient donc d'être très attentif à cet aspect du GDPR.

Votre entreprise doit réaliser une analyse d'impact sur la protection des données (DPIA), comme indiqué au chapitre 4, article 35 du règlement, et demander conseil à un délégué à la protection des données (DPD) désigné pour traiter des données très sensibles.

Si l'AIPD détermine que le traitement des données présente un risque trop élevé pour les droits et libertés des personnes concernées, vous devez consulter une autorité de contrôle, comme indiqué au chapitre 4, article 36.

Exigences du GDPR pour les entreprises

Les entreprises doivent respecter plusieurs exigences pour se conformer au GDPR manière adéquate. Je les ai divisées en étapes pour vous aider à simplifier le processus.

Étape 1 : Réaliser un audit sur la protection de la vie privée et déterminer votre base juridique

Pour commencer, je vous suggère de prendre le temps d'effectuer un audit de confidentialité de votre site web ou de votre entreprise, en général, afin de connaître toutes les données personnelles collectées auprès des utilisateurs.

Vous devez également déterminer les catégories et les types de données que vous collectez et les raisons juridiques qui vous poussent à le faire.

Préparez-vous à mettre tout cela par écrit ; cela doit figurer dans une politique de confidentialité que vous présenterez aux personnes concernées chaque fois que des données sont traitées sur votre site. Tout aussi important, ces informations vous permettront de cartographier toutes vos données, ce dont vous pourrez avoir besoin ultérieurement pour créer vos registres des activités de traitement conformément à l'article 30 du GDPR.

Étape 2 : Obtenir le consentement des personnes concernées

Cette étape s'applique si le consentement est la base juridique que vous utilisez pour traiter les données à caractère personnel.

Pour vous assurer légalement que vous respectez toutes les exigences du GDPR de consentement, vous devez :

  • Présentez à vos utilisateurs une bannière de consentement conforme qui leur permet d'accepter ou de refuser vos activités de traitement des données.
  • Veillez à ce qu'une politique de confidentialité et une politique de politique de cookies précises soient liées à votre bannière de consentement, car les personnes concernées de l'UE/EEE ont le droit d'accéder à ces informations (nous aborderons les lignes directrices de la politique de confidentialité GDPR suite de ce document).
  • Donnez-leur la possibilité de changer facilement d'avis ou de retirer leur consentement à tout moment, par exemple par l'intermédiaire d'un centre de préférence pour le consentement.
  • Conservez un registre des choix de consentement pour prouver que vous avez obtenu leur consentement.

Étape 3 : Élaborer et partager une politique de confidentialité conforme

Vous devez présenter aux personnes concernées, lorsque vous obtenez d'elles des données à caractère personnel, une politique de protection de la vie privée comprenant les éléments suivants, conformément à l'article 13 du chapitre 3 :

  • L'identité de votre entreprise, ses coordonnées et son représentant, le cas échéant.
  • Les coordonnées de votre délégué à la protection des données, le cas échéant
  • La finalité du traitement des données et la base juridique sur laquelle il s'appuie
  • une explication des intérêts légitimes que vous ou les tiers avec lesquels vous travaillez pouvez avoir pour traiter les données, si vous vous appuyez sur cette base juridique (c'est-à-dire l'article 6, paragraphe 1, point f), du GDPR).
  • Les destinataires des données à caractère personnel, ou les catégories de destinataires, s'il en existe
  • si vous avez l'intention de transférer des données à caractère personnel à un pays tiers ou à une organisation internationale, et les mesures de sécurité mises en place pour protéger les données
  • La période de stockage des données ou les critères utilisés pour déterminer cette période
  • les droits des personnes concernées, y compris le droit de déposer une plainte
  • l'existence d'une prise de décision automatisée, y compris le profilage, telle que visée à l'article 22, paragraphes 1 et 4, du GDPR

Étape 4 : Utiliser des accords sur le traitement des données pour respecter les obligations contractuelles GDPR

Si vous faites appel à des tiers pour traiter des données en votre nom, ils deviennent le sous-traitant des données , tandis que votre entreprise reste le responsable du traitement des données, et vous devrez tous deux signer un contrat GDPR

Vous devez également vous assurer que le sous-traitant de données que vous êtes sur le point d'engager fournit des garanties suffisantes pour mettre en œuvre des mesures techniques et organisationnelles appropriées afin de protéger les données à caractère personnel qui lui sont confiées.

Les entreprises utilisent généralement un accord sur le traitement des données (Data Processing Agreement ou DPA) pour respecter ces lignes directrices, décrites au chapitre 4, article 28. Vous devez exiger du responsable du traitement des données qu'il.. :

  • Ne traiter les données à caractère personnel que selon les instructions du responsable du traitement des données
  • S'engager à respecter la confidentialité des données personnelles.
  • Prendre toutes les mesures de sécurité prévues par le GDPR.
  • Ne pas s'engager avec un autre sous-traitant sans l'autorisation écrite du responsable du traitement.
  • Aider le responsable du traitement des données en prenant des mesures techniques et organisationnelles pour répondre aux demandes des personnes concernées qui souhaitent faire valoir leurs droits en matière de protection de la vie privée.
  • Aider le responsable du traitement des données à se conformer à toutes les lignes directrices relatives au traitement de la sécurité et aux exigences en matière de consultation préalable énoncées par le GDPR
  • Supprimer toutes les données à caractère personnel ou les renvoyer au responsable du traitement après la fin du contrat.
  • Mettre à disposition toutes les informations nécessaires pour démontrer la conformité au GDPR et informer immédiatement le responsable du traitement des données s'il estime qu'une instruction a enfreint le règlement ou d'autres lois de l'État membre.

Étape 5 : Respecter toutes les exigences du GDPR sûreté et de sécurité

Toutes les entreprises soumises au GDPR doivent stocker et protéger les données personnelles de manière sécurisée, mais les entreprises qui collectent des données à grande échelle ou qui traitent des catégories de données à haut risque doivent également employer un DPO et réaliser les DPIA que j'ai abordés dans ce guide.

Néanmoins, je tiens à vous rappeler que la désignation d'un DPD et la réalisation d'une AIPD sont considérées comme de bonnes pratiques pour votre responsabilité au titre du GDPR, même si vous ne traitez pas de catégories de données à caractère personnel à grande échelle ou à haut risque.

La conformité au GDPR est différente pour chaque entreprise, car chacune utilise des pratiques de traitement des données qui lui sont propres.

Comment les règles du GDPR affectent-elles les utilisateurs et les consommateurs ?

Le GDPR affecte les utilisateurs en leur donnant plus de droits et de contrôle sur la manière dont leurs données sont utilisées et garantit que les entreprises les informeront rapidement si leurs informations sont compromises.

Résumé des nouveaux droits des consommateurs GDPR

Le GDPR confère aux personnes concernées les droits suivants au chapitre 3, articles 12 à 23:

  • Le droit d'être informé(articles 13 et 14) : Le GDPR met l'accent sur la transparence des pratiques de collecte des données, ce qui signifie que les individus ont le droit d'être pleinement informés de la collecte et de l'utilisation de leurs données.
  • Le droit d'accès(article 15) : Les personnes peuvent demander à consulter toutes les données à caractère personnel recueillies auprès d'elles. Vous devez leur expliquer pourquoi vous avez collecté ces informations et avec qui vous les avez partagées. Vous devez fournir ces détails dès que possible, au plus tard dans un délai d'un mois, et gratuitement.
  • Le droit de rectification(article 16) : Si les données collectées au sujet d'une personne sont inexactes, cette personne peut en demander la correction (rectification). L'organisation qui traite les données doit répondre dans les meilleurs délais et, dans un délai d'un mois, corriger les informations en conséquence. Une personne concernée peut également demander que des informations incomplètes soient complétées. Il se peut que vous deviez également informer de cette demande les tiers avec lesquels vous avez partagé des données à caractère personnel.
  • Le droit à l'effacement(article 17) : Les personnes peuvent vous demander de supprimer définitivement leurs informations si les données ne sont plus pertinentes ou si l'utilisateur retire son consentement. Il se peut que vous deviez également informer de cette demande les tiers avec lesquels vous avez partagé des données à caractère personnel.
  • Le droit de restreindre le traitement des données(article 18) : Une personne peut demander à limiter le traitement de ses données lorsque certaines conditions s'appliquent, par exemple si le traitement est illégal ou si la personne s'y est opposée. Il se peut que vous deviez également informer de cette demande les tiers avec lesquels vous avez partagé des données à caractère personnel.
  • Le droit à la portabilité des données (article 20) : lorsque les utilisateurs demandent à consulter leurs données, ils doivent les recevoir dans un format clair. Le responsable du traitement qui fournit ces informations ne peut empêcher ou entraver la capacité de la personne concernée à communiquer les données à un autre responsable du traitement. En substance, les données à caractère personnel doivent pouvoir être transférées facilement à une autre organisation.
  • Le droit d'opposition(article 21) : les personnes peuvent s'opposer au traitement de leurs données dans certaines situations, telles que le marketing direct.
  • Prise de décision individuelle automatisée (article 22) : les personnes ont le droit de ne pas être soumises à un processus de prise de décision automatique ayant des effets juridiques significatifs.

Ce règlement est également l'une des principales raisons pour lesquelles vous voyez apparaître des bannières de consentement avec des liens vers des politiques détaillées en matière de cookies et de protection de la vie privée.

Fait amusant : après son entrée en vigueur, l'utilisation de bannières pop-up de consentement a augmenté de 16 % en Europe.

Les gens aiment se plaindre de l'abondance de ces bannières pop-up, mais personnellement, elles ne me dérangent pas.

J'aime avoir le choix sur la manière dont mes informations personnelles sont utilisées, et cliquer sur un bouton à plusieurs reprises sur l'internet ne me semble pas être une si grande nuisance, si vous voulez mon avis.

Résumé des notifications de violation de données dans GDPR

Le GDPR exige que les entreprises notifient l'autorité de contrôle appropriée et, dans certains cas, les personnes concernées si leurs données personnelles sont compromises par des erreurs techniques ou d'autres violations de données.

À mon avis, il s'agit de l'un des impacts les plus critiques introduits par le GDPR , car il rend les entreprises responsables de leurs pratiques de sécurité - ou de leur absence - tout en offrant aux utilisateurs une plus grande tranquillité d'esprit.

Selon l'article 33 du texte, les entreprises disposent de 72 heures pour informer l'autorité de contrôle compétente après avoir découvert une violation.

La notification à l'autorité de contrôle doit comprendre des détails sur la nature de la violation, les conséquences probables et les mesures que le responsable du traitement envisage de prendre pour atténuer les effets dommageables.

Les personnes concernées doivent ensuite être notifiées "dans les meilleurs délais" si la violation de données est susceptible d'engendrer un risque élevé pour leurs droits et libertés. Cette procédure est décrite plus en détail à l'article 34 du GDPR.

L'effet mondial du GDPR

Le GDPR a fourni un modèle pour la manière dont la législation sur la confidentialité des données prend en compte les frontières territoriales dans un monde numérique, modifiant essentiellement le paysage de la protection de la vie privée dans le monde entier.

Le GDPR a une portée extraterritoriale, ce qui signifie que ses règles s'appliquent au-delà des frontières territoriales traditionnelles. C'est pourquoi les entreprises d'autres pays doivent respecter les exigences du GDPR bien qu'elles se trouvent en dehors de l'UE ou de l'EEE si elles fournissent des services à des personnes concernées dans l'UE/EEE, même si ces services sont gratuits ou si elles surveillent leur comportement, par exemple dans le cadre d'un profilage.

En l'espace de cinq ans, plus de 100 pays ont mis en œuvre de nouvelles lois sur la protection des données afin de réglementer le flux de données à caractère personnel, et d'autres législations sont à venir, dont un grand nombre sont directement parallèles à ce règlement européen.

Comment les entreprises américaines sont-elles affectées par le GDPR l'UE ?

De nombreuses entreprises américaines sont concernées par le GDPR car, bien qu'elles soient situées en Amérique, elles tombent sous le seuil légal du règlement et doivent se conformer à toutes ses lignes directrices.

Dans les premiers temps du GDPR, je me souviens que certaines entreprises américaines ont adopté une approche timide pour cibler les publicités destinées aux utilisateurs européens. En revanche, d'autres ont choisi de se couper totalement de leur clientèle de l'UE/EEE.

Mais des années plus tard, il s'avère que ceux qui ont tenté de se mettre en conformité sont restés plus forts, notamment lorsque la loi californienne sur la protection de la vie privée des consommateurs(CCPA) est entrée en vigueur en 2020 - une loi d'État dont les mesures de protection de la vie privée s'inspirent du GDPR, suivie par le Colorado, le Connecticut, l'Indiana, l'Iowa, le Montana, le Tennessee, le Texas, l'Utah ou la Virginie.

Aux États-Unis, plusieurs lois sur la protection de la vie privée ont été adoptées dans différents États, et d'autres projets de loi se profilent à l'horizon.

C'est le moment idéal pour les entreprises de se familiariser avec la manière dont le GDPR affecte les États-Unis et de mettre en œuvre une stratégie globale de sécurité des données.

Que signifie le GDPR pour l'avenir ?

Le GDPR étant le premier à réglementer les flux de données, je pense que l'avenir de la protection de la vie privée sera façonné par ceux qui accordent aujourd'hui la priorité à la protection des données.

Les données ont une valeur immense pour les entreprises, mais les consommateurs et les entités gouvernementales demandent de plus en plus aux entreprises de protéger la source de ces données et de veiller à ce que la protection de la vie privée soit prise au sérieux, sous peine d'en subir les conséquences.

Il suffit de jeter un coup d'œil à certaines statistiques alarmantes sur la confidentialité des données, qui soulignent que les consommateurs attendent des entreprises des pratiques plus transparentes en matière de protection de la vie privée :

  • 76 % des utilisateurs pensent que les entreprises doivent faire plus pour protéger leurs données en ligne(Global Consumer State of Mind Report 2021).
  • 92% des Américains sont préoccupés par la protection de leur vie privée lorsqu'ils utilisent l'internet.(TrustArc)
  • Seuls 25 % des utilisateurs pensent que les entreprises sont responsables de leurs données.(Pew Research Center)

Après des années de manque de transparence en matière de confidentialité des données, il est évident que les clients exigent une protection plus rigoureuse de leurs informations personnelles, même dans des territoires comme les États-Unis, qui n'entrent pas dans le champ d'application du GDPR .

FAQ sur GDPR

Je réponds ci-dessous à quelques-unes des questions les plus fréquemment posées à Termly au sujet du règlement.

Quels sont les sept principes du GDPR?

Les sept principes du GDPR sont les suivants

  1. Légalité, équité et transparence
  2. Limites de l'objectif
  3. Minimisation des données
  4. Précision
  5. Limites de stockage
  6. Intégrité et confidentialité (sécurité)
  7. Responsabilité

Quel est l'équivalent américain du GDPR?

Les États-Unis n'ont pas de loi fédérale équivalente au GDPR. Mais les dirigeants politiques débattent actuellement de l'American Data Privacy and Protection Act (ADPPA), qui serait la première.

Certaines lois nationales présentent des similitudes avec le GDPR, notamment le California Consumer Privacy Act (CCPA) et le Virginia Consumer Data Protection Act (CDPA).

Quel est l'objectif principal du GDPR?

L'objectif principal du GDPR est de protéger la confidentialité des données des individus au sein de l'UE/EEE de manière uniforme afin que chaque État membre n'ait pas à créer ses propres mesures de protection des données, produisant ainsi une régularité dans les lois à travers l'Union.

Quels sont les points clés du GDPR?

Les points clés du GDPR comprennent l'octroi de droits aux personnes concernées dans l'UE/EEE pour accéder, modifier, corriger, rectifier, s'opposer ou supprimer leurs informations personnelles, et l'obligation pour les entreprises de ne traiter les données personnelles que si cela est nécessaire à des fins légales spécifiques, avec le respect de la vie privée dès la conception et par défaut (PbD) intégré à chaque étape du processus.

Qu'est-ce qu'une donnée personnelle au sens du GDPR?

Le GDPR définit les données personnelles dans le chapitre 1, article 4, comme des informations relatives à l'identité d'une personne physique, directement ou indirectement, et comprend des détails comme :

  • Nom
  • Adresse électronique
  • Numéros d'identification
  • Données de localisation
  • Identifiants en ligne
  • Données génétiques
  • Données mentales
  • Données économiques
  • Identité culturelle ou sociale

Qu'est-ce qui constitue un traitement de données à caractère personnel au sens du GDPR?

Selon la définition légale figurant au chapitre 1, article 4 du GDPR, toutes les actions suivantes sont considérées comme un traitement de données à caractère personnel :

  • Collecte
  • Enregistrement
  • Organiser
  • Structuration
  • Stockage
  • Adaptation
  • Modification
  • Récupération
  • Conseil
  • Utilisation
  • Divulgation par transmission
  • Diffusion
  • Autrement, la mise à disposition
  • Alignement ou combinaison
  • Restriction
  • Effacer ou détruire

Résumé

Le GDPR est une loi stricte en matière de protection de la vie privée, mais il est possible pour les entreprises de s'y conformer facilement.

Vous aurez besoin d'une version actualisée de la politique de confidentialité et de politique de cookies, d'une version correctement configurée de plateforme de gestion du consentement et d'un formulaire DSAR pour aider les utilisateurs à soumettre des demandes de confidentialité.

Termly peut vous aider ! Commencez avec notre Générateur de politique de confidentialitéGDPR et notre plateforme de gestion du consentement gratuitement.

Teodor Stanciu, CIPP/E, CIPM
En savoir plus sur l'auteur

Écrit par Teodor Stanciu, CIPP/E, CIPM

Teo est un spécialiste de la protection des données et un délégué à la protection des données (DPD) expérimenté qui se passionne pour aider les entreprises à respecter leurs obligations en matière de protection des données. Il a plus de sept ans d'expérience en tant que DPD pour une organisation internationale active dans 50 pays et basée à Bruxelles, en Belgique. Teo est un Certified Information Privacy Professional/Europe (CIPP/E) et un Certified Information Privacy Manager (CIPM) de l'International Association of Privacy Professionals (IAPP).

En savoir plus sur l'auteur
Masha Komnenic CIPP/E, CIPM, CIPT, FIP

Révisé par Masha Komnenic CIPP/E, CIPM, CIPT, FIP Directrice de la protection de la vie privée au niveau mondial

termly-dashboard-add-privacy-policy-screenshot-with-green-checkmark

Se conformer au GDPR GRATUITEMENT

Termly génère une politique de confidentialité et une solution de consentement GDPR quelques MINUTES !
Conformité GDPR gratuite

Articles connexes

  1. Politique de confidentialité pour les sites web des ONG-01
    Politique de confidentialité pour les sites web des ONG
    Articles

    3 juillet 2025
    Masha Komnenic CIPP/E, CIPM, CIPT, FIP
  2. 9-Les exigences légales pour les applications et les conseils pour les respecter-01
    9 exigences légales pour les applications et conseils pour les respecter
    Articles

    3 juillet 2025
    Masha Komnenic CIPP/E, CIPM, CIPT, FIP
  3. Politique de protection de la vie privée - Drapeaux rouges-01
    Drapeaux rouges de la politique de protection de la vie privée : Comment repérer une mauvaise politique de confidentialité
    Articles

    3 juillet 2025
    Masha Komnenic CIPP/E, CIPM, CIPT, FIP
  4. Google-Ads-EU-User-Consent-Policy-Update-01 (en anglais)
    Mise à jour des règles de consentement des utilisateurs de Google Ads dans l'UE
    Articles

    2 juillet 2025
    Masha Komnenic CIPP/E, CIPM, CIPT, FIP
  5. Termly
    Termly vs. Axeptio : Comparaison des caractéristiques et des services
    Comparaisons

    30 juin 2025
    Ali Talip Pınarbaşı, CIPP/E, & LLM
  6. Termly
    Termly vs. Iubenda : Comparaison des fonctionnalités et des services
    Comparaisons

    30 juin 2025
    Ali Talip Pınarbaşı, CIPP/E, & LLM
  7. Termly
    Termly vs Osano : Comparaison des caractéristiques et des services
    Comparaisons

    30 juin 2025
    Ali Talip Pınarbaşı, CIPP/E, & LLM
  8. Termly-vs-Usercentrics-01
    Termly vs Usercentrics : Comparaison des caractéristiques et des services
    Comparaisons

    30 juin 2025
    Ali Talip Pınarbaşı, CIPP/E, & LLM
  9. Termly-vs-Termsfeed-01
    Termly vs. TermsFeed : Comparaison des fonctionnalités et des services
    Comparaisons

    30 juin 2025
    Ali Talip Pınarbaşı, CIPP/E, & LLM

Explorer d'autres ressources