Définition : Qu’est-ce que le RGPD ?
Règlement Général sur la Protection des Données (RGPD) de l’UE
Le RGPD, sans doute la norme de confidentialité des données la plus complète à ce jour, présente un défi de taille pour les organisations qui traitent les données à caractère personnel des citoyens de l’UE - quel que soit le siège de l’organisation.
En vigueur depuis mai 2018, le règlement général sur la protection des données (RGPD) de l’UE est conçu pour améliorer la protection des données à caractère personnel et accroître la responsabilité organisationnelle en cas de violation. Le RGPD a un poids très important, avec des amendes potentielles allant jusqu’à quatre pour cent des revenus globaux ou 20 millions d’euros (selon la valeur la plus élevée). Peu importe où se trouve votre organisation, si elle traite ou contrôle les données à caractère personnel des résidents de l’UE, elle doit se conformer au RGPD. À défaut, elle sera passible d’amendes importantes et de l’obligation d’informer les parties concernées des violations de données. En savoir plus sur la conformité au RGPD.
Le RGPD est vaste et comprend les Chapitres et articles suivants :
Chapitre 1 : Dispositions générales
- Article 1 : Objet et objectifs
- Article 2 : Champ d’application matériel Article 3 : Champ d’application territorial Article 4 : Définitions
Chapitre 2 : Principes
- Article 5 : Principes relatifs au traitement des données à caractère personnel
- Article 6 : Licéité du traitement
- Article 7 : Conditions applicables au consentement
- Article 8 : Conditions applicables au consentement des enfants en ce qui concerne les services de la société de l’information
- Article 9 : Traitement portant sur des catégories particulières de données à caractère personnel
- Article 10 : Traitement des données à caractère personnel relatives aux condamnations pénales et aux infractions
- Article 11 : Traitement ne nécessitant pas d’identification
Chapitre 3 : Droits de la personne concernée
Section 1 : Transparence et modalités
- Article 12 : Transparence des informations et des communications et modalités de l’exercice des droits de la personne concernée
- Section 2 : Information et accès aux données
- Article 13 : Informations à fournir lorsque des données à caractère personnel sont collectées auprès de la personne concernée
- Article 14 : Informations à fournir lorsque des données à caractère personnel n’ont pas été collectées auprès de la personne concernée
- Article 15 : Droit d’accès de la personne concernée
Section 3 : Rectification et effacement
- Article 16 : Droit de rectification
- Article 17 : Droit à l’effacement (« droit à l’oubli »)
- Article 18 : Droit à la limitation du traitement
- Article 19 : Obligation de notification en ce qui concerne la rectification ou l’effacement de données à caractère personnel ou la limitation du traitement
- Article 20 : Droit à la portabilité des données
Section 4 : Droit d’opposition et décision individuelle automatisée
- Article 21 : Droit d’opposition
- Article 22 : Décision individuelle automatisée, y compris le profilage
Section 5 : Limitations
- Article 23 : Limitations
Chapitre 4 : Responsable du traitement et sous-traitant
Section 1 : Obligations générales
- Article 24 : Obligation du responsable du traitement
- Article 25 : Protection des données dès la conception et protection des données par défaut
- Article 26 : Responsables conjoints du traitement
- Article 27 : Représentants des responsables du traitement qui ne sont pas établis dans l’Union
- Article 28 : Sous-traitant
- Article 29 : Traitement effectué sous l’autorité du responsable du traitement ou du sous-traitant
- Article 30 : Registres des activités de traitement
- Article 31 : Coopération avec l’autorité de contrôle
Section 2 : Sécurité des données à caractère personnel
- Article 32 : Sécurité du traitement
- Article 33 : Notification à l’autorité de contrôle d’une violation de données à caractère personnel
- Article 34 : Communication à la personne concernée d’une violation de données à caractère personnel
Section 3 : Analyse d’incidence relative à la protection des données et consultation préalable
- Article 35 : Analyse d’impact relative à la protection des données
- Article 36 : Consultation préalable
Section 4 : Délégué à la protection des données
- Article 37 : Désignation du délégué à la protection des données
- Article 38 : Fonction du délégué à la protection des données
- Article 39 : Missions du délégué à la protection des données
Section 5 : Codes de conduite et certification
- Article 40 : Codes de conduite
- Article 41 : Suivi des codes de conduite approuvés
- Article 42 : Certification
- Article 43 : Organismes de certification
Chapitre 5 : Transfert de données à caractère personnel vers des pays tiers d’organisations internationales
- Article 44 : Principe général applicable aux transferts
- Article 45 : Transferts fondés sur une décision d’adéquation
- Article 46 : Transferts moyennant des garanties appropriées
- Article 47 : Règles d’entreprise contraignantes
- Article 48 : Transferts ou divulgations non autorisés par le droit de l’Union
- Article 49 : Dérogations pour des situations particulières
- Article 50 : Coopération internationale dans le domaine de la protection des données à caractère personnel
Chapitre 6 : Autorités de contrôle indépendantes
Section 1 : Statut indépendant
- Article 51 : Autorité de contrôle
- Article 52 : Indépendance
- Article 53 : Conditions générales applicables aux membres de l’autorité de contrôle
- Article 54 : Règles relatives à l’établissement de l’autorité de contrôle
Section 2 : Compétence, tâches et pouvoirs
- Article 55 : Compétence
- Article 56 : Compétence de l’autorité de contrôle chef de file
- Article 57 : Missions
- Article 58 : Pouvoirs
- Article 59 : Rapports d’activité
Chapitre 7 : Coopération et cohérence
Section 1 : Coopération
- Article 60 : Coopération entre l’autorité de contrôle chef de file et les autres autorités de contrôle concernées
- Article 61 : Assistance mutuelle
- Article 62 : Opérations conjointes des autorités de contrôle
Section 2 : Cohérence
- Article 63 : Mécanisme de contrôle de la cohérence
- Article 64 : Avis du comité
- Article 65 : Règlement des litiges par le comité
- Article 66 : Procédure d’urgence
- Article 67 : Échange d’informations
Section 3 : Comité européen de la protection des données
- Article 68 : Comité européen de la protection des données
- Article 69 : Indépendance
- Article 70 : Missions du comité
- Article 71 : Rapports
- Article 72 : Procédure
- Article 73 : Président
- Article 74 : Missions du président
- Article 75 : Secrétariat
- Article 76 : Confidentialité
Chapitre 8 : Recours, responsabilité et sanctions
- Article 77 : Droit d’introduire une réclamation auprès d’une autorité de contrôle
- Article 78 : Droit à un recours juridictionnel effectif contre une autorité de contrôle
- Article 79 : Droit à un recours juridictionnel effectif contre un responsable du traitement ou un sous-traitant
- Article 80 : Représentation des personnes concernées
- Article 81 : Suspension d’une action
- Article 82 : Droit à réparation et responsabilité
- Article 83 : Conditions générales pour imposer des amendes administratives
- Article 84 : Pénalités
Chapitre 9 : Dispositions relatives à des situations spécifiques de traitement de données
- Article 85 : Traitement et liberté d’expression et d’information
- Article 86 : Traitement et accès du public aux documents officiels
- Article 87 : Traitement du numéro d’identification national
- Article 88 : Traitement de données dans le cadre des relations de travail
- Article 89 : Garanties et dérogations applicables au traitement à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques
- Article 90 : Obligations de secret
- Article 91 : Règles existantes des églises et associations religieuses en matière de protection des données
Chapitre 10 : Actes délégués et actes d’exécution
- Article 92 : Exercice de la délégation
- Article 93 : Procédure du comité
Chapitre 11 : Provisions finales
- Article 94 : Abrogation de la directive 95/46/CE
- Article 95 : Relation avec la directive 2002/58/CE
- Article 96 : Relation avec les accords conclus antérieurement
- Article 97 : Rapports de la Commission
- Article 98 : Réexamen d’autres actes juridiques de l’Union relatifs à la protection des données
- Article 99 : Entrée en vigueur et application
Dispositions clés de l’article 32
Certaines des dispositions clés du RGPD, article 32, exigent :
a. la pseudonymisation et le chiffrement des données à caractère personnel ; b. des moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement ; c. des moyens permettant de rétablir la disponibilité des données à caractère personnel et l’accès à celles-ci dans des délais appropriés en cas d’incident physique ou technique ; d. une procédure visant à tester, à analyser et à évaluer régulièrement l’efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement.
Dispositions clés de l’article 34
L’article 34 du règlement détaille ce qu’une organisation doit faire pour éviter d’avoir à notifier les sujets en cas d’infraction.
Lorsque la violation de données à caractère personnel est susceptible d’entraîner un risque élevé d’atteinte aux droits et libertés des personnes physiques, le responsable du traitement communique la violation de données à caractère personnel à la personne concernée dans les meilleurs délais.
La communication à la personne concernée visée au paragraphe 1 du présent article décrit dans un langage clair et simple la nature de la violation de données à caractère personnel…
La communication à la personne concernée visée au paragraphe 1 n’est pas requise si l’une des conditions suivantes est remplie :
a. le responsable du traitement a mis en œuvre les mesures de protection techniques et organisationnelles appropriées et ces mesures ont été appliquées aux données à caractère personnel affectées par ladite violation, en particulier les mesures qui rendent les données à caractère personnel incompréhensibles pour toute personne qui n’est pas autorisée à y avoir accès, telles que le chiffrement ; b. le responsable du traitement a pris des mesures ultérieures qui garantissent que le risque élevé d’atteinte aux droits et libertés des personnes concernées visé au paragraphe 1 n’est plus susceptible de se matérialiser ; c. elle exigerait des efforts disproportionnés. Dans ce cas, il est plutôt procédé à une communication publique ou à une mesure similaire permettant aux personnes concernées d’être informées de manière tout aussi efficace. Dans un tel cas, une communication publique ou une mesure similaire devrait être mise en place, par laquelle les personnes concernées sont informées d’une manière tout aussi efficace.