Le Règlement général sur la protection des données (RGPD) : de quoi parle-t-on ?
Fiche pratique
INFOREG

Le développement de l’informatique implique inéluctablement la collecte de plus en plus systématique de données personnelles par l’entreprise collectrice et/ou son sous-traitant. Le traitement de ces données personnelles est soumis à un certain nombre d’obligations légales que doivent maîtriser ces entreprises sous peine de sanctions. 

C’est quoi le RGPD ?

L’évolution des technologies et de nos sociétés par l’usage accru du numérique a justifié une adaptation de la réglementation relative aux données personnelles. 

Ce nouveau règlement européen renforce le contrôle par les citoyens de l’utilisation qui peut être faite de leurs données personnelles tout en permettant aux professionnels de développer leurs activités numériques au sein de l’Union européenne. 

Qui est concerné par le RGPD ?

Le RGPD s’applique à toute entreprise (quelques soient sa taille, son pays d’implantation et son activité), qui traite des données personnelles pour son compte, dès lors :

  • qu’elle est établie sur le territoire de l’Union européenne ; 
  • que son activité cible directement des résidents européens.

Selon l’activité de l’entreprise, elle sera plus ou moins concernée par cette législation.

Le RGPD concerne aussi les sous-traitants qui traitent des données personnelles au nom et pour le compte d’autres entreprises.

C’est quoi une donnée personnelle ?

D’après la CNIL, une "donnée personnelle" est "toute information se rapportant à une personne physique identifiée ou identifiable".

Une personne peut être identifiée :

  • directement Exemple : nom, prénom
  • indirectement Exemple : un identifiant (n° client), un numéro (de téléphone), une donnée biométrique, la voix ou l’image).

L’identification d’une personne physique peut être réalisée :

  • à partir d’une seule donnée ;
  • à partir du croisement d’un ensemble de données. 

C’est quoi un traitement de données personnelles ? 

D’après la CNIL, un "traitement de données personnelles" est une opération, ou ensemble d’opérations, portant sur des données personnelles, quel que soit le procédé utilisé.

Exemple : Tenue d’un fichier de ses clients, collecte de coordonnées de prospects via un questionnaire, mise à jour d’un fichier de fournisseurs, etc.

Par contre, un fichier ne contenant que des coordonnées d’entreprises n’est pas un traitement de données personnelles. 

Exemple : entreprise « Compagnie A » avec l’adresse postale de l’entreprise, le numéro de téléphone de son standard et un email de contact générique « compagnieA@email.fr ».

IMPORTANT : les fichiers papier sont également concernés et doivent être protégés dans les mêmes conditions.

Qui est responsable de la mise en conformité au RGPD ? 

Le responsable de traitement (RT) est tenu de mettre en place l’ensemble des mesures nécessaires pour assurer la conformité et la sécurité des données personnelles collectées dans le cadre de son activité. 

Le RT est la personne physique ou morale qui détermine les finalités du traitement de données personnelles et les moyens de réaliser ces objectifs.

Le sous-traitant qui traite des données personnelles pour le compte d’une entreprise, également responsable de la conformité et la sécurité des données personnelles collectées. 

Quels sont les apports du RGPD ? 

Le RGPD apporte un certains nombres de nouveautés tout en renforçant des dispositifs existants : 

  • harmonisation des règles à l’échelle de l’Union Européenne : un cadre unique et général pour la protection et la circulation des données personnelles  de l’ensemble des ressortissants de l’Union ;
  • fin du formalisme préalable et responsabilisation des entreprises collectant et traitant des données personnelles. Prise en compte de la protection des données personnelles dès la conception du traitement et par défaut ;
  • confirmation, création et renforcement des droits des personnes concernées ;
  • renforcement du dispositif juridique et des sanctions.

RGPD, quels intérêts pour l’entreprise ? 

La mise en conformité au RGPD est un véritable atout stratégique pour l’entreprise : 

  • respecter les droits des personnes concernées valorise l’image d’une entreprise sérieuse et responsable, gage d’une relation de confiance ;
  • une gestion rigoureuse des données collectées simplifie les démarches de prospections, de gestion des facturations, et in fine de vente de produit ;
  • respecter le principe de minimisation des données et tenir à jour la liste des fichiers, permet d’identifier les besoins et données réellement nécessaire pour l’entreprise ;
  • améliorer la sécurité des données collectées permet de garantir aux personnes concernées que leurs données sont protégées contre les atteintes extérieures. 

Quelles sanctions en cas de non-respect du RGPD ? 

En cas de méconnaissance de la législation relative au traitement des données personnelles, le CNIL peut prononcer des mesures allant de la mise en demandeur de RT à l’amende administrative d’un montant de 20 millions d’euros ou 4 % du chiffre d’affaires. Ces sanctions peuvent être rendues publiques.

A titre d’exemple, la CNIL a requis : 

  • une amende de 50 millions €  à Google ;
  • des sanctions régulières pour violation des obligations de sécurité informatique et protection des données personnelles, d’un montant oscillant entre 30 000 à 400 000 euros.  

Important : Les procédures de mise en demeure et de sanctions ont été récemment modifiées et renforcées.

Ces nouvelles règles permettent à la  CNIL de sanctionner plus rapidement des petits manquements au RGPD ou à la loi informatique et liberté et d’adapter les mesures en fonction de la gravité du manquement constaté.

Concernant la procédure de mise en demeure, la CNIL peut désormais: 

  • effectuer un simple rappel des obligations incombant au RT ; 
  • enjoindre le mis en demeure de fournir des éléments demandés par la CNIL sous peine d’une injonction sous astreinte de 100 euros maximum par jour de retard. 

Concernant la nouvelle procédure simplifiée de sanctions, la CNIL peut désormais prononcer une amende pouvant atteindre jusqu’à 20 000 euros pour les affaires de faible gravité.

Les entreprises doivent donc redoubler de vigilance quant à la protection des données personnelles collectées. 

Par ailleurs, la CNIL effectue des contrôles réguliers de respect de la législation relative aux données personnelles auprès de l’ensemble des entreprises qui traitent de ce type de données. Ces contrôles peuvent se dérouler : 

  • dans les locaux de l’entreprise ;
  • sur pièces demandées par la CNIL ;
  • sur audition/convocation par la CNIL ;
  • ou en ligne sur le site internet de la CNIL.

Document rédigé par les juristes du réseau EEN (Enterprise Europe Network)

Mis à jour le 12/05/2022