1/ Qui est concerné ?

Le Règlement Général sur la Protection des Données (« RGPD ») est entré en vigueur le 25 mai 2018. Il encadre et harmonise le traitement des données personnelles dans l’Union Européenne. Il concerne tout organisme, public ou privé, de toute taille et de toute forme, qui est établi dans l’Union Européenne ou dont l’activité cible directement des résidents européens, et qui traite, pour son compte ou celui d’une autre entité, des données personnelles. En France, la CNIL est l’organisme qui exerce des missions d’accompagnement, de contrôle et de sanction des entreprises dans le cadre de leur conformité au RGPD.

2/ Quelles données pour quels traitements ?

Le RGPD définit très largement la notion de données personnelles comme toute information se rapportant à une personne physique identifiée ou identifiable de manière directe (nom de famille, prénom, etc.) ou indirecte (identifiant, numéro de téléphone, etc.). La notion de traitement, très large aussi, vise toute opération portant sur des données personnelles (collecte, conservation, modification, consultation, transmission, etc.), qu’elle soit informatisée ou qu’elle porte sur des fichiers papier. L’entreprise doit donc débuter sa mise en conformité au RGPD par l’identification précise des données personnelles et des traitements qu’elle en fait dans le cadre de son activité.

3/ Quels grands principes respecter ?

Le RGPD a pour objectifs de renforcer les droits des personnes concernées et d’imposer aux professionnels davantage de transparence et de responsabilisation. Ces derniers doivent adopter, dès la conception de leurs produits ou services, et par défaut, des mesures techniques et organisationnelles afin de protéger les données personnelles et de limiter leur volume. Les professionnels doivent donc déterminer les finalités de traitement et la durée de conservation des données en se limitant à ce qui est nécessaire pour atteindre leurs objectifs. Ils doivent aussi délivrer aux personnes concernées une information claire, simple, concise et précise sur le traitement de leurs données et les modalités d’exercice de leurs droits (consentement, opposition, rectification, etc.).

4/ Quelles mesures adopter ?

Pour remplir leur devoir d’information, les entreprises sont libres d’adopter la forme qui leur convient. Il peut s’agir d’un document fourni dans le cadre d’échanges de courriers ou d’emails, d’un panneau affiché de façon visible, d’informations fournies par téléphone, ou encore, d’un document accessible sur un site Internet ou avant le téléchargement d’une application mobile. D’autres outils doivent, selon certaines conditions, être mis en place en interne comme par exemple, la tenue d’un registre écrit recensant l’ensemble des traitements réalisés par l’organisme, et la désignation d’un délégué à la protection des données chargé de piloter la conformité de l’entreprise au RGPD. Si un organisme effectue des traitements à risque sur des données sensibles (santé, orientation sexuelle, origine raciale ou ethnique, etc.), il doit mener une analyse d’impact identifiant les risques et les mesures adoptées. Enfin, en cas de mise en place d’une sous-traitance des données entre deux entités, celles-ci doivent adapter leur documentation contractuelle afin de déterminer leurs obligations et responsabilités respectives.

Stéphanie Yavordios

Publication dans le journal Le Progrès du 25 octobre 2022