Accueil ' Ressources ' Articles 'Qu'est-ce que le RGPD? Résumé de la politique générale...

Qu'est-ce que le RGPD? Résumé du règlement général sur la protection des données

Couvert par Termly

Par : Teodor Stanciu, CIPP/E, CIPM Teodor Stanciu, CIPP/E, CIPM | Mise à jour le : 1er novembre 2024

Révisé par : Masha Komnenic CIPP/E, CIPM, CIPT, FIP Masha Komnenic CIPP/E, CIPM, CIPT, FIP

Se conformer gratuitement au RGPD
Qu'est-ce que le RGPD ? Les bases du règlement général sur la protection RGPD données de l'UE-01

Le règlement général sur la protection des donnéesRGPD est devenu applicable en Europe en 2018 et a presque immédiatement changé la façon dont les entreprises collectent et traitent les informations personnelles dans le monde entier - il est fort probable qu'il ait même un impact sur la vôtre.

Son objectif est de protéger les droits à la vie privée des personnes dans l'Union européenne (UE) et l'Espace économique européen (EEE) en leur permettant de contrôler la manière dont leurs données personnelles sont utilisées en ligne.

Elle énonce plusieurs règles et principes que les entreprises doivent respecter sous peine de se voir infliger de lourdes amendes.

Pour aider les entreprises à comprendre le règlement, j'ai créé ce résumé duRGPD dans lequel j'explique sa portée juridique, qui il protège, ce que vous devez faire pour vous mettre en conformité et les coûts potentiels de la violation de la loi la plus stricte au monde en matière de confidentialité des données.

Table des matières
  1. Qu'est-ce que le RGPD?
  2. Qui doit se conformer au RGPD?
  3. Définitions clés du RGPD
  4. Sanctions en cas de non-respect des règles
  5. Le point de vue du RGPD sur...
  6. Exigences du RGPD pour les entreprises
  7. Comment les règles du RGPD affectent-elles les utilisateurs et les consommateurs ?
  8. L'effet mondial du RGPD
  9. Comment les entreprises américaines sont-elles affectées par le RGPD'UE ?
  10. Que signifie le RGPD pour l'avenir ?
  11. FAQ RGPD
  12. Résumé

Qu'est-ce que le RGPD?

J'aime décrire le RGPD de deux manières.

Il s'agit d'un règlement européen sur la protection de la vie privée qui confère aux citoyens de l'UE/EEE des droits et un contrôle sur leurs informations personnelles. Mais il fixe également des règles et des principes spécifiques que les entreprises du monde entier doivent respecter pour traiter ces précieuses données en toute légalité.

Le RGPD a créé un cadre juridique consolidé pour la protection des données dans tous les États membres de l'UE, ainsi qu'en Islande, au Lichtenstein et en Norvège, qui font partie du marché unique de l'EEE.

Elle donne la priorité aux droits individuels des personnes concernées et tient les entreprises pour responsables des fuites et des violations de données.

L'histoire intéressante du RGPD

Le RGPD a une histoire intéressante, voire tumultueuse, que j'évoquerai brièvement avant de parler de ses exigences légales spécifiques.

La mise en œuvre du RGPD a marqué un tournant pour la protection de la vie privée dans notre ère numérique actuelle, quelque peu nouvelle, du big data.

Alors que les dirigeants européens ont initialement approuvé le RGPD en 2016, il est entré en vigueur le 25 mai 2018, laissant aux États membres de l'UE et aux entreprises du monde entier deux ans pour s'y préparer.

Deux ans, c'est beaucoup de temps pour se préparer. Cependant, de nombreuses organisations ne savaient pas exactement quelles étaient les exigences du RGPD et si et quand elles devaient s'y conformer.

Cette incertitude - et ce manque de préparation - les exposent à des amendes importantes en cas de non-conformité (je parlerai des risques financiers liés à la violation du RGPD plus loin dans ce guide).

Ce règlement a remplacé la directive européenne sur la protection des données (DPD) de 1995.

Bien entendu, l'environnement des données était très différent au milieu des années 90 de ce qu'il est en 2016. Le World Wide Web était encore jeune et les smartphones ne se trouvaient pas dans les poches des consommateurs.

La DPD a été mise en œuvre séparément par les États membres de l'UE et de l'EEE et variait considérablement d'une juridiction à l'autre. En revanche, le texte du RGPD était directement applicable, affectant tous les États membres de l'UE, et son langage reflète mieux le traitement moderne des données.

En fait, le RGPD a même été utilisé pour tenter de réglementer la technologie de l'intelligence artificielle (IA) dans des pays comme l'Italie - en 2022, l'autorité de surveillance italienne a infligé une amende de 20 millions d'euros à Clearview AI pour avoir stocké des données biométriques et de géolocalisation sans disposer d'une base juridique appropriée pour le faire en vertu du RGPD (IAPP).

Le règlement continue d'inciter d'autres régions du monde à adopter des lois contenant des principes similaires en matière de confidentialité des données, ce qui prouve qu'il aura sans aucun doute une influence durable sur nos vies à tous.

Qui doit se conformer au RGPD?

Je constate que la plupart des chefs d'entreprise sont surpris d'apprendre à quel point le champ d'application du RGPD est vaste.

Le RGPD s'applique aux entités et entreprises du monde entier qui traitent des données à caractère personnel et ciblent les personnes concernées de l'UE/EEE - directement ou indirectement - de l'une ou l'autre des manières suivantes :

  • Proposer des biens ou des services à des personnes de l'UE/EEE, même si aucune transaction monétaire n'a lieu.
  • Surveille les comportements en ligne des citoyens de l'UE/EEE

Cette application signifie que les entreprises opérant en dehors de l'Europe peuvent tomber sous le coup de la loi, soit en tant que responsables du traitement des données, soit en tant que sous-traitants, une distinction que j'aborderai dans quelques instants.

Je le trouve également intéressant en ce qui concerne l'inclusion des personnes qu'il couvre. Le RGPD protège les personnes de l'UE ou de l'EEE, indépendamment de leur nationalité ou de leur statut de citoyen, et les désigne comme des personnes concernées, comme l'explique le chapitre 1, article 3, du règlement.

Définitions clés du RGPD

Maintenant que vous connaissez les bases du RGPD , je vous suggère de vous familiariser avec les définitions juridiques de plusieurs expressions clés utilisées dans le règlement afin de simplifier votre processus de mise en conformité.

Dans le tableau ci-dessous, je vous présente la définition de ces mots essentiels telle qu'elle figure dans le RGPD et vous en donne une version simplifiée.

Durée Définition juridique précise Définition simplifiée
Données personnelles "... toute information concernant une personne physique identifiée ou identifiable ("personne concernée") ; une personne physique identifiable est une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne ou à un ou plusieurs éléments spécifiques propres à l'identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale de cette personne physique ;"

(Chapitre 1, article 4, partie 1)

 Informations concernant une personne et permettant de l'identifier directement ou indirectement, par exemple :
Traitement "... toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la divulgation par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, la limitation, l'effacement ou la destruction ;"

(Chapitre 1, article 4, partie 2)

 Effectuer l'une des actions suivantes sur une pièce ou un ensemble de pièces les données personnelles :

  • Collecte
  • Enregistrement
  • Organiser
  • Structuration
  • Stockage
  • Adaptation
  • Modification
  • Récupération
  • Conseil
  • Utilisation
  • Divulgation
  • Diffusion
  • Mise à disposition
  • Alignement
  • Combinaison
  • Restriction
  • Effacement
  • Détruire
Consentement "...toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par une action positive claire, que des données à caractère personnel la concernant fassent l'objet d'un traitement ;"

(Chapitre 1, article 4, partie 11)

 Lorsqu'un personne concernée accepte librement le traitement des données en effectuant une action affirmative et claire (comme cocher une case, cliquer sur un bouton intitulé "J'accepte", l'écrire sur un bout de papier ou signer un document à cet effet) et a accès à une politique de confidentialité conforme qui l'informe sur les activités de traitement des données de l'entité et l'a lue.

*Il s'agit d'une définition importante à laquelle il faut prêter attention si votre entreprise s'appuie sur le consentement comme base juridique pour le traitement des données à caractère personnel.
Responsable du traitement des données "...la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement de données à caractère personnel ; lorsque les finalités et les moyens de ce traitement sont déterminés par le droit de l'Union ou des États membres, le responsable du traitement ou les critères spécifiques pour sa désignation peuvent être prévus par le droit de l'Union ou des États membres ;"

(Chapitre 1, article 4, partie 7)

 Toute personne physique ou entité qui détermine la raison et les moyens du traitement des données à caractère personnel relatives aux personnes concernées (par exemple, les clients, les utilisateurs, les visiteurs du site web, etc.)
Responsable du traitement des données une personne physique ou morale, une autorité publique, une agence ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement ;(chapitre 1, article 4, partie 8) Tout tiers chargé par un responsable du traitement de traiter des données à caractère personnel sur la base des instructions fournies par le responsable du traitement et en son nom.

Je continuerai à utiliser ces termes tout au long de ce guide RGPD , n'hésitez donc pas à vous référer aux définitions chaque fois que nécessaire.

Sanctions en cas de non-respect des règles

Toute infraction au RGPD entraîne de lourdes amendes et un contrôle public. Et croyez-moi, vous ne voulez pas vous retrouver sur notre liste des plus grosses amendes RGPD de tous les temps.

  • Les entreprises qui enfreignent de manière significative les dispositions de l'article 83, paragraphe 5, du RGPD s'exposent à une amende maximale de 20 millions d'euros (22,5 millions de dollars) ou de 4 % de leur chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu.
  • Les infractions moins graves, énumérées à l'article 83, paragraphe 4, du RGPD, s'élèvent à 10 millions d'euros (12 millions de dollars) ou à 2 % du chiffre d'affaires annuel mondial de l'entreprise.

En outre, les autorités peuvent émettre un blâme public ou restreindre l'activité de collecte de données, en interdisant par exemple à une entreprise de traiter les informations des personnes concernées par RGPD . Ces restrictions peuvent être imposées de manière temporaire ou permanente.

La première pénalité RGPD significative (environ 50 millions d'euros) a été émise en janvier 2019 et ne s'est pas arrêtée là - le règlement a actuellement accumulé un total de 4 milliards d'euros (4,5 milliards de dollars) d'amendes au total. C'est un comble.

Le point de vue du RGPDsur...

Dans les sections suivantes, j'aborderai le point de vue du RGPDsur plusieurs sujets vitaux qui ont un impact sur les entreprises et vos consommateurs.

Sept principes fondamentaux RGPD

Le texte du RGPD (chapitre 2, article 5) énonce sept principes fondamentaux que les entités doivent respecter pour traiter légalement les données à caractère personnel.

Ces principes sont les suivants

  1. Légalité, équité et transparence
  2. Limitation de l'objet
  3. Minimisation des données
  4. Précision
  5. Limitation du stockage
  6. Intégrité et confidentialité (sécurité)
  7. Responsabilité

Mais je constate que la plupart des entreprises ne comprennent pas toujours l'objectif du RGPD et ce que signifient ces principes fondamentaux ou ce à quoi ils font référence en matière de respect de la vie privée. Je vais donc prendre le temps de vous expliquer chacun d'entre eux.

Légalité, équité et transparence

Selon le RGPD, tout traitement de données effectué par une entité doit être légal. Vous devez traiter les informations de manière loyale et dans le meilleur intérêt des personnes concernées.

Les entreprises ne peuvent pas induire les utilisateurs en erreur sur les objectifs ou les activités de traitement des données.

Vous devez informer de manière transparente vos utilisateurs des informations que vous recueillez auprès d'eux, de la base juridique sur laquelle vous vous appuyez pour le faire et de l'utilisation qui en est faite - y compris si vous les partagez avec des tiers et quels sont leurs droits.

Limitation de l'objet

En vertu du RGPD, les entreprises doivent collecter et traiter les données à caractère personnel uniquement aux fins qu'elles ont explicitement spécifiées aux personnes concernées.

Cela signifie que vous ne pouvez pas traiter les données à caractère personnel au-delà de ces finalités, sauf si le traitement ultérieur est considéré comme compatible avec les finalités pour lesquelles les données à caractère personnel ont été collectées à l'origine. C'est ce que l'on appelle la limitation de la finalité.

Vous devez indiquer clairement la finalité du traitement dès le départ, l'enregistrer d'une manière ou d'une autre, et elle ne peut être modifiée que si vous obtenez à nouveau le consentement de vos utilisateurs.

Toutefois, l'archivage de données à des fins d'intérêt public, de recherche scientifique ou historique, ou à des fins statistiques n'est pas soumis à des limitations de finalité, à condition que vous respectiez toutes les dispositions énoncées dans le chapitre 9, article 89 du RGPD.

Minimisation des données

Les entreprises qui relèvent du RGPD ne peuvent collecter que des données à caractère personnel adéquates, pertinentes et limitées à ce qui est nécessaire aux fins exposées aux personnes concernées pour le traitement des données.

En d'autres termes, vous ne devez collecter que les données nécessaires à la finalité déclarée du traitement - vous ne pouvez pas inventer n'importe quelle raison pour collecter autant de données que possible.

La mise en œuvre pratique de ce principe nécessite l'application de deux concepts : la nécessité (le traitement des données est-il nécessaire ?) et la proportionnalité (le traitement est-il proportionnel ?) au traitement des données à caractère personnel.

Précision

Selon le RGPD, vous devez prendre des mesures raisonnables pour vous assurer que les données à caractère personnel que vous collectez sont exactes et à jour, chaque fois que cela est nécessaire. Cette action est nécessaire car il existe des risques évidents pour les personnes concernées si des informations inexactes sont traitées.

Par conséquent, les entreprises doivent également prendre toutes les mesures possibles pour corriger ou rectifier les données inexactes sans retard injustifié (dans les limites du raisonnable, bien entendu).

Limitation du stockage

Le RGPD stipule clairement que les entreprises ne doivent pas conserver les données à caractère personnel plus longtemps que nécessaire au regard de la finalité pour laquelle les données ont été initialement traitées.

La seule exception est à des fins d'archivage concernant l'intérêt public, la recherche scientifique ou historique, ou à des fins statistiques, auquel cas vous pouvez stocker les données pour des périodes plus longues comme indiqué dans le chapitre 9, article 89 du RGPD.

Intégrité et confidentialité (ou sécurité)

En vertu du RGPD, votre entreprise doit prendre les mesures techniques et organisationnelles appropriées pour protéger les données à caractère personnel contre le traitement non autorisé ou illégal, la perte accidentelle, la destruction et les dommages. En d'autres termes, vous devez éviter tout risque de fuite ou de violation de données.

L'utilisation irresponsable des données personnelles des personnes concernées peut vous attirer des ennuis !

Le RGPD peut tenir les entreprises financièrement responsables si elles sont victimes d'une telle cybercriminalité en raison de mesures de sécurité inadéquates.

En outre, vous devez notifier toute fuite ou violation de données à l'autorité compétente en matière de protection des données dans les plus brefs délais, et au plus tard 72 heures à compter du moment où vous avez pris connaissance de cette violation.

Si la violation de données est susceptible d'entraîner un risque élevé pour les droits et libertés des personnes concernées, vous devez également les informer.

En raison de ce principe fondamental, votre entreprise doit prendre les mesures de sécurité appropriées pour s'assurer que les données que vous traitez sont anonymisées, cryptées ou au moins pseudonymisées afin de réduire la probabilité d'une violation grave des données.

Responsabilité

La responsabilité est l'un des principes les plus importants du RGPD.

Selon le RGPD, les organisations doivent démontrer qu'elles respectent les six principes précédents que je viens d'aborder, connus sous le nom de principe de responsabilité. L'idée est que les organisations doivent être responsables de la collecte et du traitement des informations concernant les personnes.

Ils doivent se l'approprier et en prendre soin tout au long du cycle de vie des données. Ce faisant, l'organisation peut être tenue responsable de ses actions et de ses inactions.

Si vous supposez que vous êtes RGPD mais que vous ne pouvez pas le prouver, vous ne l'êtes techniquement pas.

Voici quelques moyens de prouver que votre entreprise est compatible avec le RGPD :

  • Publier une politique de confidentialité actualisée et précise, accessible à toutes les personnes concernées de l'UE/EEE.
  • Utiliser des formulaires de demande d'accès des personnes concernées(DSAR) sur votre plateforme afin que les personnes concernées de l'UE/EEE puissent facilement faire valoir leurs droits en matière de protection de la vie privée.
  • Veiller à utiliser des accords de traitement des données(ATD) adéquats avec tout tiers ayant accès à vos données d'utilisateur, conformément aux obligations contractuelles énoncées au chapitre 4, article 28 du règlement.
  • Désigner un délégué à la protection des données (DPD) si nécessaire.
  • Former votre personnel aux meilleures pratiques en matière de confidentialité des données et de cybersécurité.
  • Documentez en détail les mesures de sécurité utilisées pour protéger de manière adéquate les données de vos utilisateurs.
  • Connaître les droits des personnes concernées et être prêt à les aider rapidement.

Le respect de la vie privée dès la conception et par défaut (PbD)

Le RGPD décrit ce que l'on appelle le respect de la vie privée dès la conception et par défaut (Privacy by Design and by Default ou PbD), ce qui signifie simplement que vous devez vous efforcer d'intégrer la protection des données au cœur même de votre activité, dès la phase de conception et tout au long du cycle de vie de l'activité de traitement.

En faisant de la protection des données un élément essentiel de votre activité, vous pouvez mieux anticiper les risques et les violations de données avant qu'ils ne se produisent. Vous pouvez ainsi offrir aux individus un environnement plus sûr et une plus grande confiance dans votre entreprise.

Je dis souvent aux entreprises que c'est comme une garantie pour vos clients que vous gardez à l'esprit la sûreté et la sécurité de leurs informations personnelles lorsque vous planifiez vos protocoles de collecte et de traitement des données.

La PbD n'est pas un concept nouveau dans le domaine de la protection des données. Cependant, le RGPD en fait une obligation légale officielle pour les personnes concernées au sein de l'UE/EEE.

Vous devez intégrer l'intégrité des données à chaque étape de la conception du produit et la garder à l'esprit de manière proactive à tous les stades du développement.

Conditions de traitement légal des données à caractère personnel

Pour traiter légalement des données à caractère personnel en vertu du RGPD, vous devez indiquer votre base juridique pour chaque catégorie d'informations que vous utilisez.

Le RGPD définit les bases juridiques suivantes comme des raisons valables pour le traitement des données :

Consentement

Vous ne pouvez vous appuyer sur le consentement que si vous offrez aux personnes concernées le contrôle et le choix véritable d'accepter ou de refuser les conditions proposées sans nuire à vos activités de traitement.

Vous devez également respecter les conditions spécifiques énoncées par le RGPD pour disposer d'une base juridique valable pour la collecte d'informations personnelles. Comme il s'agit d'une base juridique courante pour les entreprises, nous l'abordons plus en détail dans la section suivante.

Exécution du contrat

Si le traitement est nécessaire à l'exécution d'un contrat qui inclut la personne concernée, il s'agit alors d'un motif légitime pour traiter les informations relatives à l'utilisateur.

Intérêt légitime

Si le traitement des données est nécessaire pour vos intérêts légitimes, cette base juridique s'applique, à moins que ces intérêts légitimes ne l'emportent sur les droits et libertés des personnes concernées.

Intérêt vital

Cette règle s'applique dans les situations de vie ou de mort et concerne le traitement de données nécessaires à la protection des intérêts vitaux d'une personne concernée.

Exigence légale

Cette base juridique s'applique lorsque le traitement est nécessaire pour remplir une obligation légale.

Intérêt public

Cela s'applique lorsque le traitement des données est nécessaire à l'exécution d'une tâche dans l'intérêt du grand public et s'applique généralement aux entités publiques ou privées qui exécutent des tâches dans l'intérêt du public.

Veillez à expliquer clairement et à prouver votre base juridique pour chaque type d'information personnelle que vous collectez dans une politique de confidentialitéRGPD.

Il est important de souligner qu'il n'y a pas de hiérarchie entre les bases juridiques, à l'exception de l'"intérêt légitime", qui ne doit être utilisé qu'en dernier recours, lorsqu'aucune autre base juridique ne peut être invoquée.

En outre, vous devez déterminer la base légale avant de traiter des données à caractère personnel. Il est important de bien faire les choses dès la première fois. Changer de base juridique est susceptible d'être injuste pour les personnes concernées et peut conduire à des violations des exigences en matière de responsabilité et de transparence.

Le consentement dans le cadre du RGPD

Le consentement est l'une des bases légales pour le traitement des données personnelles en vertu du RGPD, mais votre entreprise doit être en mesure de démontrer plusieurs conditions spécifiques énoncées par le règlement.

Le RGPD définit le consentement valable au chapitre 1, article 4, et pour vous aider à mieux comprendre cette définition, je l'ai décomposée en ses parties essentielles :

  • Librement consenti : Vos utilisateurs doivent avoir véritablement le choix et le contrôle d'accepter vos pratiques de collecte de données et ne peuvent être contraints ou forcés.
  • Spécifique : si un utilisateur consent à vos activités de traitement, vous ne pouvez pas combiner ce choix affirmatif avec d'autres éléments ou l'alourdir d'une manière qui pourrait dérouter la personne concernée.
  • Informé : Vos utilisateurs doivent savoir ce qu'ils acceptent, ce qui implique de fournir une explication facile à lire concernant les données que vous collectez, la raison pour laquelle vous en avez besoin, la manière dont vous les utiliserez et les personnes avec lesquelles vous les partagerez. Ce principe est étroitement lié aux principes de loyauté et de légalité expliqués ci-dessus.
  • Indication sans ambiguïté : Les utilisateurs doivent indiquer qu'ils acceptent vos pratiques de traitement des données par une motion ou une déclaration active, par exemple en cochant une case ou en cliquant sur un bouton "J'accepte". Ce consentement ne peut pas être confondu avec l'acceptation d'autres choses, comme des courriels de marketing ou des bulletins d'information. Il doit donc être clair que la personne concernée consent à une activité de traitement particulière.
  • Action positive : Les utilisateurs doivent prendre des mesures évidentes pour exprimer leur accord avec vos activités de traitement des données. Demandez-leur de sélectionner un bouton "Accepter" clairement identifié, de remplir activement un formulaire ou de cocher une case non marquée pour exprimer leur approbation.

Le RGPD énonce les conditions suivantes pour le consentement au chapitre 4, article 7, que vous devez respecter pour utiliser le consentement comme base juridique valable pour le traitement des données :

  • Vous devez être en mesure de prouver que vous avez obtenu le consentement de vos utilisateurs pour traiter leurs données.
  • S'ils donnent leur consentement par le biais d'une déclaration écrite et que celle-ci porte également sur d'autres questions, vous devez la présenter de manière à ce qu'elle soit facilement distinguable, intelligible et présentée dans un format accessible.
  • Vos utilisateurs ont le droit de retirer leur consentement à tout moment, et ce processus doit être aussi simple que de donner son consentement.
  • Le consentement est présumé ne pas avoir été donné librement s'il ne permet pas de donner un consentement distinct pour différents traitements de données à caractère personnel, bien que cela soit approprié dans chaque cas, ou si l'exécution d'un contrat, y compris la fourniture d'un service, dépend du consentement alors que celui-ci n'est pas nécessaire à l'exécution du contrat.

Les informations doivent être accessibles et rédigées dans un langage compréhensible par le commun des mortels. Les utilisateurs doivent savoir ce qu'ils acceptent et l'utilisation de leurs données ne doit pas aller au-delà de ce qui a été spécifié.

Pour décrire le consentement dans le cadre du RGPD en quelques mots : des pages interminables de jargon juridique et des cases pré-cochées ne suffisent plus.

Lignes directrices sur le stockage et la sécurité des données

Selon le RGPD, les entreprises sont responsables de la protection des données personnelles contre les atteintes à la cybersécurité ou les fuites, qui conduiraient notamment à un accès non autorisé, à une indisponibilité des données personnelles ou à une perte d'intégrité.

Elle précise également que les entités ne doivent conserver les informations qu'aussi longtemps que nécessaire pour atteindre les objectifs initiaux présentés aux personnes concernées.

Il vous appartient d'évaluer le niveau de risque des données que vous collectez et d'appliquer les garanties appropriées tout en tenant compte des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement.

Cependant, le chapitre 4, article 32 du RGPD recommande de prendre les mesures suivantes :

  • Pseudonymisation et cryptage des données.
  • Assurer en permanence la confidentialité, l'intégrité, la disponibilité et la résilience des systèmes de traitement.
  • Fournir la capacité de restaurer la disponibilité et l'accès aux données en cas d'incident.
  • Un processus de test, d'évaluation et d'appréciation de l'efficacité des mesures techniques et organisationnelles

Délégués à la protection des données (DPD)

Selon le chapitre 4, article 37, vous devez désigner un DPD si

  • Une autorité publique effectue le traitement des données.
  • Les activités et les finalités du responsable du traitement ou du sous-traitant nécessitent un suivi systématique des personnes concernées à grande échelle (par exemple, le profilage).
  • Vous traitez des catégories de données sensibles à grande échelle (comme les condamnations pénales, les données relatives à la santé, les opinions politiques, les données relatives au sexe, etc.)

Certaines questions peuvent découler des conditions énumérées ci-dessus.

  • Qu'est-ce qu'une autorité publique ? Cela doit être déterminé par le droit national de chaque État membre.
  • Quelles sont les activités principales ? Il s'agit des opérations clés nécessaires pour atteindre vos objectifs, que vous agissiez en tant que responsable du traitement ou sous-traitant.
  • Qu'est-ce qu'une grande échelle ? Pour déterminer si le traitement est effectué à grande échelle, il convient de tenir compte des éléments suivants :

    • Le nombre de personnes concernées - soit en tant que nombre spécifique, soit en tant que proportion de la population concernée.
    • Le volume de données et/ou l'éventail des différents éléments de données traités.
    • La durée ou la permanence de l'activité de traitement des données.
    • L'étendue géographique de l'activité de traitement.

La désignation d'une personne chargée de superviser toutes les procédures liées à la protection des données est essentielle pour assurer la conformité au RGPD .

Les DPD ne sont pas personnellement responsables en cas de non-conformité et ils doivent être indépendants dans l'exercice de leurs fonctions. Les DPD doivent également disposer d'une ligne de communication directe avec l'encadrement supérieur, par exemple avec le PDG de l'entreprise.

Évaluations de l'impact de la protection des données (DPIA)

Il se peut que vous deviez évaluer certains risques à l'avance si votre traitement de données - que vous utilisiez une nouvelle technologie ou en raison de la nature, de la portée et du contexte de l'activité de traitement - entraîne un risque élevé pour les droits et libertés des personnes concernées.

Il convient donc d'être très attentif à cet aspect du RGPD.

Votre entreprise doit réaliser une analyse d'impact sur la protection des données (DPIA), comme indiqué au chapitre 4, article 35 du règlement, et demander conseil à un délégué à la protection des données (DPD) désigné pour traiter des données très sensibles.

Si l'AIPD détermine que le traitement des données présente un risque trop élevé pour les droits et libertés des personnes concernées, vous devez consulter une autorité de contrôle, comme indiqué au chapitre 4, article 36.

Exigences du RGPD pour les entreprises

Les entreprises doivent respecter plusieurs exigences pour se conformer au RGPD manière adéquate. J'ai divisé ces exigences en plusieurs étapes afin de simplifier le processus pour vous.

Étape 1 : Réaliser un audit sur la protection de la vie privée et déterminer votre base juridique

Pour commencer, je vous suggère de prendre le temps d'effectuer un audit de confidentialité de votre site web ou de votre entreprise, en général, afin de connaître toutes les données personnelles collectées auprès des utilisateurs.

Vous devez également déterminer les catégories et les types de données que vous collectez et les raisons juridiques qui vous poussent à le faire.

Préparez-vous à écrire tout cela ; cela doit figurer dans une politique de confidentialité que vous présenterez à vos personnes concernées chaque fois qu'un traitement de données a lieu sur votre site. Tout aussi important, ces informations vous permettront de cartographier toutes vos données, ce dont vous aurez peut-être besoin plus tard pour créer vos registres des activités de traitement conformément à l'article 30 du RGPD.

Étape 2 : Obtenir le consentement des personnes concernées

Cette étape s'applique si le consentement est la base juridique que vous utilisez pour traiter les données à caractère personnel.

Pour garantir légalement que vous respectez toutes les exigences du RGPD consentement, vous devez :

  • Présentez à vos utilisateurs une bannière de consentement conforme qui leur permet d'accepter ou de refuser vos activités de traitement des données.
  • Veillez à ce qu'une politique de confidentialité et une politique de politique de cookies précises soient liées à votre bannière de consentement, car les personnes concernées de l'UE/EEE ont le droit d'accéder à ces informations (nous aborderons les lignes directrices RGPD relatives à la politique de confidentialité dans la suite de ce document).
  • Donnez-leur la possibilité de changer facilement d'avis ou de retirer leur consentement à tout moment, par exemple par l'intermédiaire d'un centre de préférence pour le consentement.
  • Conservez un registre des choix de consentement pour prouver que vous avez obtenu leur consentement.

Étape 3 : Élaborer et partager une politique de confidentialité conforme

Vous devez présenter aux personnes concernées, lorsque vous obtenez d'elles des données à caractère personnel, une politique de protection de la vie privée comprenant les éléments suivants, conformément à l'article 13 du chapitre 3 :

  • L'identité de votre entreprise, ses coordonnées et son représentant, le cas échéant.
  • Les coordonnées de votre délégué à la protection des données, le cas échéant
  • La finalité du traitement des données et la base juridique sur laquelle il s'appuie
  • Une explication des intérêts légitimes que vous ou les tiers avec lesquels vous travaillez pouvez avoir pour traiter les données, si vous vous appuyez sur cette base juridique (c'est-à-dire l'article 6, paragraphe 1, point f), du RGPD).
  • Les destinataires des données à caractère personnel, ou les catégories de destinataires, s'il en existe
  • si vous avez l'intention de transférer des données à caractère personnel à un pays tiers ou à une organisation internationale, et les mesures de sécurité mises en place pour protéger les données
  • La période de stockage des données ou les critères utilisés pour déterminer cette période
  • les droits des personnes concernées, y compris le droit de déposer une plainte
  • L'existence d'une prise de décision automatisée, y compris le profilage, telle que visée à l'article 22, paragraphes 1 et 4, du RGPD

Étape 4 : Utiliser les accords sur le traitement des données pour satisfaire aux obligations contractuelles RGPD

Si vous faites appel à des tiers pour traiter des données en votre nom, ils deviennent le sous-traitant , tandis que votre entreprise reste le responsable du traitement, et vous devrez tous deux signer un contrat RGPD.

Vous devez également vous assurer que le sous-traitant de données que vous êtes sur le point d'engager fournit des garanties suffisantes pour mettre en œuvre des mesures techniques et organisationnelles appropriées afin de protéger les données à caractère personnel qui lui sont confiées.

Les entreprises utilisent généralement un accord sur le traitement des données (Data Processing Agreement ou DPA) pour respecter ces lignes directrices, décrites au chapitre 4, article 28. Vous devez exiger du responsable du traitement des données qu'il.. :

  • Ne traiter les données à caractère personnel que selon les instructions du responsable du traitement des données
  • S'engager à respecter la confidentialité des données personnelles.
  • Prendre toutes les mesures de sécurité prévues par le RGPD.
  • Ne pas s'engager avec un autre sous-traitant sans l'autorisation écrite du responsable du traitement.
  • Aider le responsable du traitement des données en prenant des mesures techniques et organisationnelles pour répondre aux demandes des personnes concernées qui souhaitent faire valoir leurs droits en matière de protection de la vie privée.
  • Aider le responsable du traitement des données à se conformer à toutes les lignes directrices relatives au traitement de la sécurité et aux exigences en matière de consultation préalable énoncées par le RGPD
  • Supprimer toutes les données à caractère personnel ou les renvoyer au responsable du traitement après la fin du contrat.
  • Mettre à disposition toutes les informations nécessaires pour démontrer la conformité au RGPD et informer immédiatement le responsable du traitement des données s'il estime qu'une instruction enfreint le règlement ou d'autres lois de l'État membre.

Étape 5 : Respecter toutes les exigences du RGPD matière de sûreté et de sécurité

Toutes les entreprises soumises au RGPD doivent stocker et protéger les données à caractère personnel en toute sécurité, mais les entreprises qui collectent des données à grande échelle ou qui traitent des catégories de données à haut risque doivent également employer un DPD et réaliser les DPIA dont je parle dans ce guide.

Néanmoins, je tiens à vous rappeler que la désignation d'un DPD et la réalisation d'une DPIA sont considérées comme de bonnes pratiques pour votre responsabilité au titre du RGPD, même si vous ne traitez pas de catégories de données à caractère personnel à grande échelle ou à haut risque.

La conformité au RGPD est différente pour chaque entreprise, car chacune utilise des pratiques de traitement des données qui lui sont propres.

Comment les règles du RGPD affectent-elles les utilisateurs et les consommateurs ?

Le RGPD affecte les utilisateurs en leur donnant plus de droits et de contrôle sur la manière dont leurs données sont utilisées et garantit que les entreprises les informeront rapidement si leurs informations sont compromises.

Résumé des nouveaux droits des consommateurs RGPD

Le RGPD confère aux personnes concernées les droits suivants au chapitre 3, articles 12 à 23 :

  • Le droit d'être informé(articles 13 et 14) : Le RGPD met l'accent sur la transparence des pratiques de collecte des données, ce qui signifie que les personnes ont le droit d'être pleinement informées de la collecte et de l'utilisation de leurs données.
  • Le droit d'accès(article 15) : Les personnes peuvent demander à consulter toutes les données à caractère personnel recueillies auprès d'elles. Vous devez leur expliquer pourquoi vous avez collecté ces informations et avec qui vous les avez partagées. Vous devez fournir ces détails dès que possible, au plus tard dans un délai d'un mois, et gratuitement.
  • Le droit de rectification(article 16) : Si les données collectées au sujet d'une personne sont inexactes, cette personne peut en demander la correction (rectification). L'organisation qui traite les données doit répondre dans les meilleurs délais et, dans un délai d'un mois, corriger les informations en conséquence. Une personne concernée peut également demander que des informations incomplètes soient complétées. Il se peut que vous deviez également informer de cette demande les tiers avec lesquels vous avez partagé des données à caractère personnel.
  • Le droit à l'effacement(article 17) : Les personnes peuvent vous demander de supprimer définitivement leurs informations si les données ne sont plus pertinentes ou si l'utilisateur retire son consentement. Il se peut que vous deviez également informer de cette demande les tiers avec lesquels vous avez partagé des données à caractère personnel.
  • Le droit de restreindre le traitement des données(article 18) : Une personne peut demander à limiter le traitement de ses données lorsque certaines conditions s'appliquent, par exemple si le traitement est illégal ou si la personne s'y est opposée. Il se peut que vous deviez également informer de cette demande les tiers avec lesquels vous avez partagé des données à caractère personnel.
  • Le droit à la portabilité des données (article 20) : lorsque les utilisateurs demandent à consulter leurs données, ils doivent les recevoir dans un format clair. Le responsable du traitement qui fournit ces informations ne peut empêcher ou entraver la capacité de la personne concernée à communiquer les données à un autre responsable du traitement. En substance, les données à caractère personnel doivent pouvoir être transférées facilement à une autre organisation.
  • Le droit d'opposition(article 21) : les personnes peuvent s'opposer au traitement de leurs données dans certaines situations, telles que le marketing direct.
  • Prise de décision individuelle automatisée (article 22) : les personnes ont le droit de ne pas être soumises à un processus de prise de décision automatique ayant des effets juridiques significatifs.

Ce règlement est également l'une des principales raisons pour lesquelles vous voyez apparaître des bannières de consentement avec des liens vers des politiques détaillées en matière de cookies et de protection de la vie privée.

Fait amusant : après son entrée en vigueur, l'utilisation de bannières pop-up de consentement a augmenté de 16 % en Europe.

Les gens aiment se plaindre de l'abondance de ces bannières pop-up, mais personnellement, elles ne me dérangent pas.

J'aime avoir le choix sur la manière dont mes informations personnelles sont utilisées, et cliquer sur un bouton à plusieurs reprises sur l'internet ne me semble pas être une si grande nuisance, si vous voulez mon avis.

Résumé des notifications de violation de données du RGPD

Le RGPD exige des entreprises qu'elles notifient à l'autorité de contrôle appropriée et, dans certains cas, aux personnes concernées, que leurs données personnelles soient compromises par des erreurs techniques ou d'autres violations de données.

À mon avis, il s'agit de l'un des impacts les plus critiques introduits par le RGPD , car il rend les entreprises responsables de leurs pratiques de sécurité - ou de leur absence de pratiques - tout en offrant aux utilisateurs une plus grande tranquillité d'esprit.

Selon l'article 33 du texte, les entreprises disposent de 72 heures pour informer l'autorité de contrôle compétente après avoir découvert une violation.

La notification à l'autorité de contrôle doit comprendre des détails sur la nature de la violation, les conséquences probables et les mesures que le responsable du traitement envisage de prendre pour atténuer les effets dommageables.

Les personnes concernées doivent alors être notifiées "dans les meilleurs délais" si la violation des données est susceptible d'engendrer un risque élevé pour leurs droits et libertés. Cette procédure est décrite plus en détail à l'article 34 du RGPD.

L'effet mondial du RGPD

Le RGPD a fourni un modèle pour la manière dont la législation sur la confidentialité des données prend en compte les frontières territoriales dans un monde numérique, modifiant essentiellement le paysage de la protection de la vie privée dans le monde entier.

Le RGPD a une portée extraterritoriale, ce qui signifie que ses règles s'appliquent au-delà des frontières territoriales traditionnelles. C'est pourquoi les entreprises d'autres pays doivent respecter les exigences du RGPD bien qu'elles se trouvent en dehors de l'UE ou de l'EEE si elles fournissent des services à des personnes concernées dans l'UE/EEE, même si ces services sont gratuits ou s'il s'agit de surveiller leur comportement, par exemple dans le cadre d'un profilage.

En l'espace de cinq ans, plus de 100 pays ont mis en œuvre de nouvelles lois sur la protection des données afin de réglementer le flux de données à caractère personnel, et d'autres législations sont à venir, dont un grand nombre sont directement parallèles à ce règlement européen.

Comment les entreprises américaines sont-elles affectées par le RGPD'UE ?

De nombreuses entreprises américaines sont concernées par le RGPD car, bien qu'elles soient situées en Amérique, elles tombent sous le seuil légal du règlement et doivent se conformer à toutes ses lignes directrices.

Dans les premiers temps du RGPD, je me souviens que certaines entreprises américaines avaient adopté une approche timide pour cibler les publicités destinées aux utilisateurs européens. D'autres, en revanche, ont choisi de se couper totalement de leur clientèle de l'UE/EEE.

Mais des années plus tard, il s'avère que ceux qui ont tenté de s'y conformer sont restés plus forts, notamment lorsque la loi californienne sur la protection de la vie privée des consommateurs(CCPA) est entrée en vigueur en 2020 - une loi d'État dont les mesures de protection de la vie privée s'inspirent du RGPD, suivie par le Colorado, le Connecticut, l'Indiana, l'Iowa, le Montana, le Tennessee, le Texas, l'Utah ou la Virginie.

Aux États-Unis, plusieurs lois sur la protection de la vie privée ont été adoptées dans différents États, et d'autres projets de loi se profilent à l'horizon.

C'est le moment idéal pour les entreprises de se familiariser avec la manière dont le RGPD affecte les États-Unis et de mettre en œuvre une stratégie globale de sécurité des données.

Que signifie le RGPD pour l'avenir ?

Le RGPD ayant pris l'initiative de réglementer les flux de données, je pense que l'avenir de la protection de la vie privée sera façonné par ceux qui accordent aujourd'hui la priorité à la protection des données.

Les données ont une valeur immense pour les entreprises, mais les consommateurs et les entités gouvernementales demandent de plus en plus aux entreprises de protéger la source de ces données et de veiller à ce que la protection de la vie privée soit prise au sérieux, sous peine d'en subir les conséquences.

Il suffit de jeter un coup d'œil à certaines statistiques alarmantes sur la confidentialité des données, qui soulignent que les consommateurs attendent des entreprises des pratiques plus transparentes en matière de protection de la vie privée :

  • 76 % des utilisateurs pensent que les entreprises doivent faire plus pour protéger leurs données en ligne(Global Consumer State of Mind Report 2021).
  • 92% des Américains sont préoccupés par la protection de leur vie privée lorsqu'ils utilisent l'internet.(TrustArc)
  • Seuls 25 % des utilisateurs pensent que les entreprises sont responsables de leurs données.(Pew Research Center)

Après des années de manque de transparence en matière de confidentialité des données, il est évident que les clients exigent une protection plus poussée de leurs informations personnelles, même dans des territoires comme les États-Unis, qui ne relèvent pas du champ d'application du RGPD .

FAQ RGPD

Je réponds ci-dessous à quelques-unes des questions les plus fréquemment posées à Termly au sujet du règlement.

Quels sont les sept principes du RGPD?

Les sept principes du RGPD sont les suivants

  1. Légalité, équité et transparence
  2. Limites de l'objectif
  3. Minimisation des données
  4. Précision
  5. Limites de stockage
  6. Intégrité et confidentialité (sécurité)
  7. Responsabilité

Quel est l'équivalent américain du RGPD?

Les États-Unis n'ont pas de loi fédérale équivalente au RGPD. Mais les responsables politiques débattent actuellement de l'American Data Privacy and Protection Act (ADPPA), qui serait la première.

Certaines lois nationales présentent des similitudes avec le RGPD, notamment la loi californienne sur la protection de la vie privée des consommateurs (CCPA) et la loi de Virginie sur la protection des données des consommateurs (CDPA).

Quel est l'objectif principal du RGPD?

L'objectif principal du RGPD est de protéger la confidentialité des données des individus au sein de l'UE/EEE de manière uniforme afin que chaque État membre n'ait pas besoin de créer ses propres mesures de protection des données, produisant ainsi une régularité dans les lois à travers l'Union.

Quels sont les points clés du RGPD?

Les points clés du RGPD comprennent l'octroi aux personnes concernées dans l'UE/EEE de droits d'accès, de modification, de correction, de rectification, d'objection ou de suppression de leurs informations personnelles, et l'obligation pour les entreprises de ne traiter les données personnelles que dans la mesure où cela est nécessaire à des fins légales spécifiques, avec le respect de la vie privée dès la conception et par défaut (PbD) intégré à chaque étape du processus.

Qu'est-ce qu'une donnée personnelle au sens du RGPD?

Le RGPD définit les données à caractère personnel au chapitre 1, article 4, comme des informations relatives à l'identité d'une personne physique, soit directement, soit indirectement, et comprend des détails comme :

  • Nom
  • Adresse électronique
  • Numéros d'identification
  • Données de localisation
  • Identifiants en ligne
  • Données génétiques
  • Données mentales
  • Données économiques
  • Identité culturelle ou sociale

Qu'est-ce qui constitue un traitement de données à caractère personnel au sens du RGPD?

Selon la définition légale telle qu'elle figure au chapitre 1, article 4 du RGPD, toutes les actions suivantes sont considérées comme un traitement de données à caractère personnel :

  • Collecte
  • Enregistrement
  • Organiser
  • Structuration
  • Stockage
  • Adaptation
  • Modification
  • Récupération
  • Conseil
  • Utilisation
  • Divulgation par transmission
  • Diffusion
  • Autrement, la mise à disposition
  • Alignement ou combinaison
  • Restriction
  • Effacer ou détruire

Résumé

Le RGPD est une loi stricte en matière de protection de la vie privée, mais il est possible pour les entreprises de s'y conformer facilement.

Vous aurez besoin d'une version actualisée de la politique de confidentialité et de politique de cookies, d'une version correctement configurée de plateforme de gestion du consentement et d'un formulaire DSAR pour aider les utilisateurs à soumettre des demandes de confidentialité.

Termly peut vous aider ! Commencez avec notre Générateur de politique de confidentialitéRGPD et notre plateforme de gestion du consentement gratuitement.

Teodor Stanciu, CIPP/E, CIPM
En savoir plus sur l'auteur

Écrit par Teodor Stanciu, CIPP/E, CIPM

Teo est un spécialiste de la protection des données et un délégué à la protection des données (DPD) expérimenté qui se passionne pour aider les entreprises à respecter leurs obligations en matière de protection des données. Il a plus de sept ans d'expérience en tant que DPD pour une organisation internationale active dans 50 pays et basée à Bruxelles, en Belgique. Teo est un Certified Information Privacy Professional/Europe (CIPP/E) et un Certified Information Privacy Manager (CIPM) de l'International Association of Privacy Professionals (IAPP).

En savoir plus sur l'auteur
Masha Komnenic CIPP/E, CIPM, CIPT, FIP

Révisé par Masha Komnenic CIPP/E, CIPM, CIPT, FIP Directrice de la protection de la vie privée au niveau mondial

termly-dashboard-add-privacy-policy-screenshot-with-green-checkmark

Se conformer au RGPD GRATUITEMENT

Termly génère une politique de confidentialité et une solution de consentement RGPD en quelques MINUTES !
Conformité au RGPD gratuite

Articles connexes

  1. Contrôleur de données-vs-Processeur de données-01
    Contrôleur de données et processeur de données : Quelles sont les différences ?
    Articles

    11 septembre 2025
    Ali Talip Pınarbaşı, CIPP/E, & LLM
  2. Modèle de politique de confidentialité
    Comment utiliser notre modèle de politique de confidentialité
    Modèles

    10 septembre 2025
    Masha Komnenic CIPP/E, CIPM, CIPT, FIP
  3. Modèle de politique de confidentialité
    Modèle de politique de confidentialité
    Modèles

    10 septembre 2025
    Masha Komnenic CIPP/E, CIPM, CIPT, FIP
  4. 5-Most-Common-Data-Request-01
    Les 5 demandes de données les plus courantes que vous recevrez et comment les traiter
    Articles

    8 septembre 2025
    Masha Komnenic CIPP/E, CIPM, CIPT, FIP
  5. 10-Meilleures solutions de conformité à RGPD RGPD-CRM-01
    11 meilleures solutions CRM RGPD
    Articles

    29 août 2025
    Masha Komnenic CIPP/E, CIPM, CIPT, FIP
  6. Quel droit fait-on ?Termly-Cover-01
    Quelles sont les lois couvertes par le site Termly ?
    Articles

    22 août 2025
    Masha Komnenic CIPP/E, CIPM, CIPT, FIP
  7. Pourquoi la confidentialité des données est-elle importante?-01
    6 raisons pour lesquelles la confidentialité des données est importante pour les entreprises
    Articles

    20 août 2025
    Masha Komnenic CIPP/E, CIPM, CIPT, FIP
  8. Politique de confidentialité pour les blogueurs - Blogspot-01
    Politique de confidentialité pour les sites de blogueurs : comment en créer une ?
    Articles

    20 août 2025
    Masha Komnenic CIPP/E, CIPM, CIPT, FIP
  9. What-is-Quebec-Law-25-01
    Qu'est-ce que la loi 25 du Québec ?
    Articles

    20 août 2025
    Masha Komnenic CIPP/E, CIPM, CIPT, FIP

Explorer d'autres ressources