RGPD : un nouveau cadre européen pour la protection des données personnelles

  1. RGPD entree en application

Le 25 mai prochain marquera l’entrée en vigueur du Règlement général pour la protection des données (RGPD). A deux mois de cette échéance, nous vous proposons de détailler ces nouvelles règles européennes et d’évoquer les enjeux et défis qu’elles soulèvent.

Le RGPD, fruit de quatre années de concertation européenne

L’idée de départ remonte à 2012. Cette année-là, la Commission européenne demande la mise en place de groupes de travail réunissant l’ensemble des États-membres. L’objectif ? Remettre au goût du jour la législation en vigueur en matière de droit européen relatif à la protection des données.

Le chantier s’annonce de grande ampleur mais il répond surtout à un besoin de plus en plus significatif. En effet, le texte faisant alors foi n’est autre que la directive européenne sur la protection des données… datant de 1995 ! Alors que les nouveaux défis du numérique ne cessent de se diversifier, il devient urgent de s’armer d’un nouveau cadre législatif unifié qui soit plus efficace et surtout plus contemporain.

À l’issue de quatre années de nombreux débats et échanges entre experts et parlementaires européens, le RGPD est publié au Journal Officiel de l’Union Européenne (JOUE) le 4 mai 2016. Son entrée en application directe est alors fixée au 25 mai 2018.

Qui est concerné par le RGPD ?

Le RGPD s’applique à toutes les entreprises disposant a minima d’une structure implantée sur le territoire de l’Union européenne, ou proposant une offre de biens ou de services à destination de ressortissants de l’UE.

Aucun critère exclusif n’a été défini concernant la taille de l’entreprise, son secteur d’activités ou encore le lieu de stockage des données personnelles. Le RGPD s’applique équitablement pour l’ensemble des États-membres de l’Union européenne.

L’objectif de ce nouveau règlement est triple : renforcer les droits des personnes vis-à-vis de leurs données personnelles, responsabiliser les acteurs effectuant le traitement de données* et permettre une meilleure coopération entre les autorités nationales de protection des données au sein de l’UE.

Qu’est-ce qu’une donnée personnelle pour le RGPD ?

Le cadre défini par le RGPD regroupe l’ensemble des données relatives à une “personne physique identifiée ou identifiable”. Ainsi, les données permettant une identification indirecte, comme le numéro de téléphone ou l’adresse mail d’une personne, sont évidemment au coeur de ces nouvelles règles.
Les informations recueillies dans le cadre d’actions marketing, lorsqu’elles sont utilisées pour définir des habitudes comportementales permettant des offres ciblées, s’inscrivent elles aussi dans le cadre du RGPD.

Ce dernier introduit par ailleurs une différence notable avec la législation antérieure. En effet, les responsables de traitement* partageront désormais leur responsabilité avec leurs éventuels sous-traitants, dès lors que ces derniers interviendront dans le processus de traitement des données*.

Enfin, le fait de croiser des données de différentes provenances est considérée comme une activité susceptible de rendre identifiantes ces informations. Cette action sera par conséquent également soumise au règlement prochainement en vigueur.

Quelques précisions supplémentaires sur le RGPD

*Responsable de traitement : « personne physique ou morale, autorité publique, service ou autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement; lorsque les finalités et les moyens de ce traitement sont déterminés par le droit de l’Union ou le droit d’un État membre, le responsable du traitement peut être désigné ou les critères spécifiques applicables à sa désignation peuvent être prévus par le droit de l’Union ou par le droit d’un État-membre. »

*Traitement des données : « toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés, et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction.«