Le RGPD expliqué. Qu'est-ce que le RGPD ? Que signifie la nouvelle réglementation pour vous en tant qu'individu ? Que signifie-t-elle pour vous en tant qu'entreprise ou organisation ? Lisez notre FAQ pour en savoir plus, ou envoyez-nous vos questions et nous tâcherons d’y répondre ici!
Le RGPD : tout ce que vous avez voulu savoir

  • Qu’est-ce que le RGPD?

    Le Règlement Général sur la Protection des Données (RGPD) est le nouveau règlement européen sur la protection des données qui sera appliqué à partir du 25 mai 2018.

  • Qu’est-ce qu’il fait?

    Il régule la façon dont les données personnelles peuvent être traitées par les entreprises, les administrations publiques et d’autres organisations. (le “traitement” comprend tout ce qui est lié à la collecte, l’agrégation, l’exploitation ou le partage de données).

    Le RGPD impose aussi que les données personnelles soient stockées et traitées de manière sécurisée.

  • Qui est concerné?

    Le RGPD a été conçu pour protéger les données personnelles de toutes les personnes qui vivent dans l’Union européenne.

  • Qui est responsable de l’application des règles?

    L’Union européenne et ses États-membres sont responsables du contrôle de l’application du RGPD.

    Chaque pays doit créer une autorité publique indépendante pour la protection des données pour faire en sorte que le RGPD soit appliqué, pour gérer les plaintes déposées par les individus, et pour imposer des amendes quand c’est nécessaire, approuver les codes de conduite, et mieux faire connaître le RGPD (avec des campagnes d’information par exemple).

    Les plaintes directes des individus contre des entreprises seront traitées par ces autorités et les tribunaux nationaux, éventuellement en consultation avec la Cour de Justice de l’Union européenne.

  • Qui doit l’appliquer?

    Le règlement sera appliqué directement et de la même façon dans les 28 États-membres de l’Union européenne, à toutes les entreprises, administrations publiques et autres organisations qui stockent et traitent des données personnelles.

    Ces organisations ont eu plus de deux ans, depuis le 27 avril 2016, pour préparer leur mise en conformité.

    Le règlement s’applique également aux entreprises et organisations qui opèrent à l’extérieur de l’UE: si une entreprise ou une organisation traite les données personnelles d’individus vivant dans l’UE, elle doit respecter le RGPD, quelque soit l’endroit où elle est basée.

  • Où puis-je trouver davantage d’information sur le RGPD?

  • Est-ce qu’il y aura bientôt des modifications du RGPD ?

    Il est peu probable qu’une nouvelle législation soit bientôt introduite. Cependant, nous pouvons attendre une clarification du RGPD dans les prochaines années avec les directives développées par les autorités de protection des données, les tribunaux et la jurisprudence.

    L’UE travaille aussi actuellement sur un nouveau règlement, ePrivacy, qui complétera le RGPD concernant le traitement des données en ligne.

  • Est-ce que le RGPD s’applique aux entreprises américaines?

    Oui. Dès qu’une entreprise surveille ou piste le comportement des internautes sur le territoire européen, le règlement s’applique, où que soit le siège de l’entreprise.

  • Est-ce que le RGPD s’applique aux données que mon employeur détient sur moi?

    Oui. Votre employeur, comme tout autre organisation qui traite des données, doit se conformer au RGPD. Cependant chaque État-membre de l’UE peut adopter des règles plus ou moins spécifiques quant à la relation de travail. Si cela vous intéresse, vous devriez chercher plus d’information sur le site de votre autorité de protection des données.

  • Cela veut-il dire que je peux m’«effacer» moi-même?

    Pas tout à fait. Vous ne pouvez pas effacer vos données personnelles n’importe quand. Mais vous pouvez demander à ce que vos données soient effacées dans certaines situations, par exemple si une entreprise/organisation n’en a plus besoin afin de fournir le service que vous utilisez, ou si vous décidez de retirer votre consentement. Cependant, même dans ces cas-là, les entreprises peuvent avoir des raisons valables de conserver vos données, par exemple pour les impôts ou pour se protéger de futures réclamations.

  • Qui n’est pas obligé de s’y conformer?

    1. Certains organismes publics, y compris les services de renseignement, la police et les cours de justice, qui seront encadrées par des règles nationales distinctes.

    2. Les individus en sont exemptés s’ils collectent des données pour un “usage personnel ou domestique” - par exemple s’ils enregistrent des contacts dans leur téléphone.

    3. Les Églises peuvent conserver leurs propres règles pour la protection des données personnelles et leurs organismes qui supervisent cette région – mais leurs règles doivent être en accord avec le RGPD.

  • Qu’est-ce qui est nouveau?

    Bien que le RGPD soit plus une évolution qu’une révolution des règles européennes existantes, il inclue tout de même des changements importants. Entre autres, le nouveau règlement:

    1. donne de nouveaux droits aux individus (le droit de porter ses données d’une entreprises ou service à un autre, et le droit de demander une copie des données qu’une entreprise détient sur vous par exemple); et impose davantage de transparence aux entreprises/organisations (elles doivent, par exemple, vous informer sur les données qui sont traitées, et dans quels buts elles sont traitées; elles doivent vous prévenir si elles font votre profil;

    2. rend plus facile le contrôle de l’application de la loi (avec des amendes pour les entreprises, ou en autorisant les individus à intenter une action en justice en cas de violation de leurs droits);

    3. simplifie les règles en appliquant le même texte à tous les pays de l’UE, mais en offrant davantage de flexibilité dans la façon dont les entreprises peuvent se conformer à la loi.

  • Que sont les données personnelles?

    Les données personnelles sont au cœur du RGPD: le règlement ne s’applique pas à toutes les données que les entreprises détiennent.

    Les données personnelles sont, simplement dit, toute information qui peut identifier un individu. Puisque l’identification d’un individu peut souvent être obtenue en recoupant différentes informations (même sans qu’elles soient reliées par un nom), ce qui peut être considéré comme une donnée personnelle est assez vaste. Une pointure de chaussure, un loisir ou une image, par exemple, pourraient être considérés comme des données personnelles s’il est possible d’identifier à qui ces informations font référence.

    Il est important de noter que ce ne sont pas nécessairement les responsables du traitement (les entreprises/organisations qui traitent les données) qui sont capables de l’identification.

  • Pourquoi certaines entreprises sont-elles critiques vis-à-vis du RGPD?

    De nombreuses entreprises ont pris l’habitude de considérer vos données comme une «ressource à disposition», quelque chose qu’elles peuvent prendre sans demander la permission et exploiter pour leur propre bénéfice financier; qu’elles peuvent collecter sans limites et sans les protéger. Le RGPD est un instrument puissant qui force les entreprises à réévaluer les risques, non seulement pour les personnes dont les données sont traitées, mais les risques qu’elles encourent elles-mêmes (amendes et réputation). Il force les entreprises à traiter vos données avec le soin et le respect qu’elles auraient dû y consacrer depuis le début.

  • Que puis-je faire si une entreprise utilise mes données contre mon gré?

    • Il peut être utile de contacter l’entreprise. Que vous le fassiez ou non, vous pouvez également déposer une plainte auprès de votre autorité de protection des données, même si l’entreprise n’a pas de bureau dans votre pays. Et si vous n’êtes pas satisfaits de la décision de l’autorité de protection des données, vous pouvez intenter un procès contre l’entreprise.

    • Vous pouvez également passer l’autorité de protection des données et aller directement devant le tribunal si vous estimez que vos droits ont été bafoués.

    • Si vous avez souffert d’un préjudice, matériel ou non, suite à une violation de vos droits, vous pouvez demander une compensation financière.

    • Les parties tierces, telles que les organisations de consommateurs, les organisations des droits numériques ou d’autres groupes d’intérêts peuvent également intenter une action en justice en votre nom et celui d’autres.

  • Comment ces droits seront appliqués?

    Chaque pays aura une autorité de protection des données indépendante pour faire en sorte que les entreprises sont en conformité avec le règlement. Vous avez le droit de déposer plainte auprès de votre autorité de protection des données ou d’aller au tribunal si vous considérez que vos droits n’ont pas été respectés.

  • Comment devrions-nous réagir en cas de violation des données?

    Avec le RGPD, vous devez signaler toute violation à l’autorité de protection des données, généralement dans les 72 heures qui suivent la prise de connaissance de la violation. Vous devez également informer les individus dont vous avez traité les données, quand il est possible que la violation ait un impact négatif sur eux, par exemple si des données financières sont fuitées, ou si des personnes qui n’y sont pas autorisées ont pu avoir accès à leur dossier médical.

  • En faisons-nous assez?

    En tant qu’entreprise/organisation, c’est à vous de l’évaluer, en faisant particulièrement attention à la nature de votre activité et des risques pour la vie privée qui y sont associés. Le site de votre autorité de protection des données, qui a probablement des indications utiles et des guides est un bon point de départ.

  • Puis-je parler avec les entreprises de leur utilisation de mes données?

    Absolument! Le RGPD exige que les entreprises et organisations répondent aux questions à propos des données personnelles. Cela inclue le traitement ou non de vos données personnelles, dans quel but, combien de temps les données sont conservées et avec qui elles sont partagées. Et si vous changez d’avis à propos de ce à quoi vous avez consenti ou de ce que vous avez accepté, les entreprises et organisations doivent non seulement faire en sorte que vous puissiez le leur communiquer facilement, mais également agir en conséquence.

  • Dois-je faire quelque chose?

    Non. C’est aux entreprises et organisations de faire en sorte que vos données personnelles soient protégées. Il y a, en revanche, des décisions que vous devez prendre.

    • Pour les nouveaux services que vous souhaitez utiliser: si l’entreprise vous demande de lui communiquer des données, êtes-vous vraiment d’accord? (si le service ne traite que les données nécessaires, il est dans l’obligation de vous en informer mais pas de vous demander un consentement explicite. Il doit cependant demander votre consentement si les données qu’il demande ne sont pas nécessaires).

    • Pour les services que vous utilisez déjà: êtes vous d’accord avec la façon dont l’entreprise collecte, analyse et partage vos données personnelles? Si vous n’êtes plus d’accord, vous pouvez simplement dire “non”.

    • Enfin: si vous pensez que vos droits ne sont pas respectés, vous pouvez décider de signaler le service auprès de la CNIL ou intenter une action en justice vous-même.

  • Quels sont mes droits avec le RGPD?

    1. Vous avez le droit à l’information.

    • Les entreprises et organisations ont maintenant l’obligation de vous informer, dans un langage clair et accessible, de la nature des données personnelles qui sont traitées et des modalités de ce traitement. (“traitement” comprend tout ce qui a trait à la collecte, l’agrégation, l’exploitation ou le partage de données)

    • Si une entreprise ou une organisation élabore un profil sur vous (par exemple en recoupant des données provenant de différentes sources), vous avez le droit de savoir ce qu’il y a dans ce profil.

    2. Vous avez le droit au traitement sécurisé de vos données.

    Le RGPD impose aussi que les données personnelles soient stockées et traitées de manière sécurisée.

    3. Vous avez le droit d’accéder aux données personnelles qu’une entreprise ou organisation détient sur vous, à n’importe quel moment.

    • Si les données sont inexactes, vous pouvez les modifier ou les compléter.
    • Si les données ne sont plus nécessaires, vous pouvez demander leur suppression.
    • Si vous aviez fourni plus d’informations que nécessaire pour accéder au service (par exemple pour une utilisation à des fins de marketing), mais que vous ne voulez plus que ces données soient utilisées, vous pouvez demander à ce qu’elles soient supprimées.
    4. Vous avez le droit d’utiliser un service sans fournir de données supplémentaires. Si une entreprise/organisation veut traiter des données personnelles qui ne sont pas strictement nécessaires pour fournir un service particulier (par exemple une application de transport qui veut accéder au répertoire de votre téléphone), elle doit demander votre consentement explicite pour traiter ces données. Cependant, si une entreprise considère qu’il est dans son intérêt de traiter certaines données, elle n’est pas forcément obligée de demander votre consentement. Si vous avez déjà consenti au traitement de données complémentaires, vous pouvez le retirer. 5. Concernant les décisions automatisées vous avez le droit de demander des explications et une intervention humaine.
    • Si une décision vous concernant a été prise en utilisant des mécanismes automatisés, vous avez le droit de savoir comment la décision a été prise (par exemple vous avez droit à une explication sur le processus utilisé par le mécanisme)

    • Dans le cas d’une prise de décision automatisée vous avez droit à une intervention humaine et de contester toute décision qui a été prise.

  • Comment être sûrs que les données que nous traitons sont correctement sécurisées?

    Le plan d’action de votre organisation pour sécuriser les données que vous détenez dépendra d’un grand nombre de facteurs: les types de données que vous stockez, leur sensibilité, la quantité de données que vous détenez, la complexité de votre infrastructure, si vous avez une connaissance interne en matière de sécurité informatique ou si vous sous-traitez, etc.. Au minimum, vous devriez:

    • faire la liste des données personnelles que vous détenez et cartographier son stockage;

    • faire une évaluation des risques, en identifiant les sources d’accès non-autorisé ou de fuite les plus probables;

    • mettre en œuvre un plan d’action en matière de protection des données basé sur l’étude de risques, qui couvre la minimisation des données (ne collectez, traitez et stockez que les données dont vous avez absolument besoin); le contrôle d’accès (limitez le nombre de personnes qui ont accès aux données personnelles); la sécurité du stockage (où stockez-vous les données personnelles (sensibles)? Est-ce qu’elles sont séparées des données qui ne sont ni personnelles ni sensibles? Est-ce qu’elles sont chiffrées?): l’hygiène numérique de vos employés; ainsi qu’une politique de conservation, archivage et suppression des données;

    • tester la sécurité des systèmes qui stockent les données personnelles (serveurs, email, archives, etc.);

    • noter toutes les actions menées pour protéger les données personnelles que vous détenez;

    • élaborer et tester un plan d’action en cas de violation des données, qui inclue les rôles et responsabilités, la notification de l’autorité de protection des données, etc.;

    • élaborer un plan pour revoir ces étapes périodiquement.

  • Quels sont les risques que nous encourons si nous n’implémentons pas le RGPD correctement?

    Vous encourez le risque d’une amende par une autorité de protection des données nationale; vous pourriez également être poursuivi en justice directement par un individu si vous avez enfreint ses droits. Peut-être que le plus grand risque est celui de perdre la confiance de vos clients. Les études montrent [https://ec.europa.eu/digital-single-market/en/news/attitudes-towards-impact-digitisation-and-automation-daily-life] que la plupart des gens veulent être certains que leurs données ne sont pas utilisées à outrance, et qu’ils sont de plus en plus inquiets pour la protection de leur vie privée.

  • Y a-t-il une approche minimal?

    Le RGPD ne propose pas de solution universelle mais favorise l’évaluation que chaque entreprise/organisation fait elle-même. La compréhension de l’importance du droit des individus à contrôler leurs données et de votre responsabilité concernant le respect de ce droit quand votre service est utilisé est un bon point de départ. Les lignes directrices du Groupe de Travail de l’Article 29 donnent des exemples de bonnes et mauvaises pratiques. Vous devriez également trouver d’autres guides sur le site de votre autorité de protection des données.

  • Mon entreprise ou organisation peut-elle être sanctionnée par une amende, et comment elles seront appliquées?

    Si vous n’êtes pas en conformité avec le RGPD, l’autorité de protection des données peut vous imposer une amende. Ce pourra être suite à une plainte déposée par un individu ou à un contrôle initié par l’autorité de protection des données.

    L’autorité de protection des données doit faire en sorte que l’amende est efficace dans chaque cas, c’est-à-dire qu’elle soit proportionnée et dissuasive. L’autorité de protection des données prendra en considération, entre autres, la nature et la gravité de l’infraction; le niveau de négligence; si des actions ont été menées pour limiter les dommages; et le budget de votre entreprise/organisation.

    Les amendes peuvent aller jusqu’à un maximum de 4% du chiffre d’affaire mondial d’une entreprise/organisation ou jusqu’à 20 millions d’euros – en fonction de ce qui est le plus élevé.

  • Comment savoir si on est prêt?

    Au minimum, vous devriez pouvoir répondre «oui» aux questions suivantes:

    • Est-ce qu’on a catalogué les catégories de données personnelles qu’on traite, et dans quels buts?
    • Pouvons-nous justifier le traitement de chaque catégorie de données (c’est-à-dire la base légale qui nous autorise à le faire)?
    • Pouvons-nous fournir des informations à nos utilisateurs/clients sur la façon dont nous traitons les données?
    • Est-ce que nous sommes sûrs que les données sont stockées de manière sécurisée et que les personnes non-autorisées ne peuvent pas y accéder?
    • Est-ce que nous avons des procédures pour effacer les données dont nous n’avons plus besoin?
    • Est-ce que nous savons quoi faire si un individu décide d’utiliser ses droits conformément au RGPD, comme le droit d’obtenir une copie de ses données?
    • Est-ce qu’on a cartographié le niveau et la source de tout risque lié à notre traitement des données? Est-ce qu’on a pris les mesures nécessaires pour limiter ces risques?
    • Est-ce que nous avons une procédure au cas où une personne non-autorisée aurait accès à des données personnelles?
    • Est-ce que nous avons fait en sorte que tout le monde au sein de l’entreprise/organisation connaisse les procédures appropriées pour le traitement et la sécurisation des données personnelles?
    • Est-ce que nous avons un plan pour réévaluer périodiquement nos pratiques en matière de traitement des données?

  • Devons-nous nous inscrire quelque part?

    Non. Contrairement à la Directive européenne sur la Protection des données de 1995, le RGPD n’impose pas d’inscrire vos bases de données auprès de l’autorité de protection des données. Cependant si vous nommez un.e. délégué.e. à la protection des données dans votre entreprise, vous devez envoyer ses coordonnées à l’autorité de protection des données.

    Avec le RGPD, vous devez nommer un.e. délégué.e. à la protection des données si vous traitez des données personnelles, et que:

    • vous êtes une organisation publique (un ministère, une école, un hôpital, etc.);

    • votre activité implique la surveillance régulière et systématique de données personnelles à grande échelle (grandes entreprises du numérique, ou entreprises qui surveillent les cotes de crédit ou font de la vidéo surveillance, etc.); ou que

    • vous traitez des données personnelles sensibles à grande échelle (par exemple les hôpitaux).

  • Y a-t-il une façon officielle d’implémenter le RGPD?

    Compte tenu de la variété d’acteurs qui intervient quand une entreprise ou organisation traite des données personnelles, le RGPD n’est pas une liste universelle de mesures. De manière générale, le RGPD offre aux individus (ou «personnes concernées») certains droits, et vous devez faire en sorte d’être capable de respecter ces droits. Au minimum, vous devez connaître les tenants et les aboutissants des données que vous traitez et comment vous les traitez, ainsi que les risques que ce traitement pose pour les personnes concernées. Plus le risque est élevé, plus vous aurez à faire pour protéger les données; si vous stockez des données personnelles sensibles (liées à la santé, à la sexualité, etc.) ou des détails de paiement, vous aurez une plus grande responsabilité que si vous traitez des pointures de chaussures.

    Pour être sûr.e. que votre entreprise/organisation est en règle avec le RGPD, vous devriez commencer par évaluer vos pratiques et procédures actuelles (en cartographiant les flux de données), et en les adaptant si besoin pour répondre aux exigences du RGPD. Documentez vos raisonnements et actions; et continuez à surveiller et revoir périodiquement vos pratiques.