RGPD définitions et principes

Le RGPD est un règlement européen qui regroupe l’ensemble des règles relatives à la protection des données personnelles.  

Il a été créé par l’Union européenne avec pour objectif d’harmoniser l’ensemble des dispositions légales relatives à la confidentialité et au traitement des données personnelles des ressortissants européens.  

L’article 8 de la Charte des droits fondamentaux de l’Union européenne mentionne que :  

“1. Toute personne a droit à la protection des données à caractère personnel la concernant.

2. Ces données doivent être traitées loyalement, à des fins déterminées et sur la base du consentement de la personne concernée ou en vertu d'un autre fondement légitime prévu par la loi. Toute personne a le droit d'accéder aux données collectées la concernant et d'en obtenir la rectification.

3. Le respect de ces règles est soumis au contrôle d'une autorité indépendante.”

En d’autres termes, le RGPD a été créé pour modifier la façon dont les entreprises et autres organisations traitent les données personnelles de leurs usagers et par la même occasion, améliorer la façon dont les personnes accèdent aux informations les concernant en limitant les droits d’utilisation des données personnelles des organisations et entreprises.

Le RGPD a donc pour but d’encadrer la mise en œuvre du traitement des données personnelles en fixant les conditions légales de collecte, conservation, et exploitation des données personnelles.  

Ainsi, le RGPD a deux objectifs majeurs : renforcer le droit des personnes concernant leur données personnelles et responsabiliser les organismes ou entreprises qui traitent des données personnelles des individus.

De ce fait, les organismes ou entreprises sont dans l’obligation de se mettre en conformité avec les dispositions du RGPD.

La mise en conformité au RGPD permet donc aux entreprises d’atteindre un niveau de protection suffisant tout en ayant les capacités de démontrer notamment en cas d’incident de sécurité, de plainte ou de contrôle de la CNIL que les entreprises ont bien mis en œuvre toutes les mesures nécessaires pour éviter tout risque.  

La mise en conformité des entreprises avec le RGPD demande un examen minutieux des outils et des pratiques de l’entreprise.

Cette mise en conformité est une obligation pour un grand nombre d’acteurs chargés de collecter les données personnelles.

En effet, ces acteurs doivent impérativement connaître les enjeux et les principes relatifs à la conformité au RGPD.

La mise en conformité des Etats membres de l’Union Européenne se traduit par un processus en plusieurs étapes établi par la CNIL.  Ainsi, elle a pour but d’atteindre un niveau de protection suffisant des données personnelles de chacun qui sont traitées par des entreprises pour éviter tout risque de perte de données en respectant la vie privée des utilisateurs et notamment en veillant à leur anonymat.  

De plus, les entreprises et organisations soumises à l’obligation de respect du RGPD ont toujours la possibilité de sécuriser davantage le traitement de ces données au niveau technique, organisationnel et juridique. En effet, la mise en conformité au RGPD exige une mise à jour constante de la procédure et de la politique interne de l’entreprise ou organisation concernée.  

Afin que la mise en conformité n’ait plus aucun secret pour vous, il conviendra d’abord de définir la notion de conformité (I) et rappeler les principes que doivent respecter les entreprises pour être conformes au RGPD (II).

Vous souhaitez approfondir le sujet ? 

Retrouvez notre article sur la procédure de mise en conformité au RGPD et le rôle du Data Protection Officer (DPO).

de Tonye Cottavoz
10 min

du 25 mai. 2022

Sommaire

{{1}}

1. RGPD définitions importantes

Le Règlement Général sur la Protection des Données (RGPD) fait suite à une décision européenne dont l’objectif est de renforcer la protection des données personnelles en effectuant une mise en conformité.  

La mise en conformité au RGPD correspond à la mise en œuvre de moyens et de mesures nécessaires à son respect, c’est-à-dire que les entreprises et organisations soumises au RGPD doivent mettre en œuvre les mécanismes nécessaires au respect des règles relatives au traitement des données personnelles établies par le Règlement.

Le terme “donnée à caractère personnel” correspond à toute information sur une personne physique permettant de l’identifier en application de l’article 4 du RGPD.

Une donnée à caractère personnel se définit comme toute information se rapportant à une personne identifiée ou identifiable. Une personne est considérée comme identifiée lorsque son identification se fait directement, c’est-à-dire par le prénom et le nom ou bien indirectement, c’est-à-dire par un numéro d’identifiant, un numéro de téléphone ou plusieurs éléments créant un faisceau d’indices propres à son identité. Quant à la seconde catégorie, celle de personne identifiable, celle-ci se traduit par la connaissance d’une seule donnée ou bien d’un croisement de plusieurs données.  

L’application du RGPD se traduit par l’application de 3 idées : la transparence, le droit des utilisateurs et la responsabilité des entreprises.

La transparence consiste en une indication précise et claire du but engendrant la collecte des données personnelles. Doivent être alors mentionnés le temps de conservation, leur utilisation et les personnes pouvant y avoir accès.

Le droit des utilisateurs concerne le bénéfice du droit d’accès aux données par l’utilisateur. A ce droit, s’ajoute la possibilité de celui d’oubli, d’effacement, de déréférencement mais aussi de portabilité.  

Enfin, la responsabilité des entreprises consiste en la mise en place de moyens adéquats à des fins de protection des données personnelles par des mécanismes adéquats tout en justifiant la pertinence des données collectées.  

{{2}}

2. Les principes du RGPD

Les principes du RGPD sont au nombre de trois : celui d’accountability dit responsabilité (a), celui de privacy by default dit protection des données par défaut (b) et enfin, celui de privacy by design ou encore principe de portabilité (c).

a. Le principe d’accountability

Les entreprises ou organisations soumises au RGPD ont l’obligation de respecter les règles relatives à la protection des données personnelles sous peine de lourdes sanctions.

Le RGPD a établi plusieurs principes que doivent respecter les entreprises afin d’être en conformité et de pouvoir démontrer leur mise en conformité.  

Ainsi, pour être en conformité avec le RGPD, les entreprises ou organisations doivent obligatoirement respecter des principes tels que : le principe d’accountability ou responsabilité.

Cela désigne l’obligation de mise en œuvre des procédures et mécanismes internes qui permettent aux entreprises et organisations concernées par le RGPD de démontrer qu’ils ont bien respecté les règles relatives à la protection des données personnelles des utilisateurs.

En outre, l’obligation de mise en œuvre de procédures et mécanismes internes permet aux entreprises d’une part, de prouver qu’elles respectent les règles relatives à la protection des données établies par le RGPD et d’autre part, de s’assurer que les mesures techniques et organisationnelles soient bien efficaces.

Par ailleurs, les entreprises soumises au respect du RGPD doivent également veiller à ce que les obligations qui découlent du principe d’accountability soient régulièrement mises à jour afin de garantir aux personnes dont les données personnelles sont utilisées un traitement conforme de ces dernières.

Le principe d’accountability s’accompagne de deux autres principes : le principe de privacy by default et de privacy by design.  

b. Le principe de “privacy by default”

Le principe de ”privacy by default“ ou protection des données par défaut désigne le fait que le ou les responsable(s) des traitements des données personnelles doivent obligatoirement s’assurer que les données à caractère personnel des personnes utilisatrices de son service sont protégées en leur assurant le plus haut niveau de sécurité de leurs données. Cela en prenant systématiquement des mesures de sécurité et de protection qui peuvent être mises en œuvre soit, de façon systématique soit, de façon ponctuelle lors du traitement des données personnelles.  

Le principe de privacy by défault permet de minimiser et encadrer tant en interne qu’en externe l’usage fait par les entreprises et organisations concernées des données à caractère personnel de leurs clients. Tel est le cas pour la documentation technique relative à la conception qui doit impérativement mettre en exergue le respect de la vie privée.  

Le principe de privacy by default s’applique seulement lorsque le produit ou le service est communiqué à l’utilisateur.

Dans ce cas, les standards de protection devront être appliqués par défaut c’est-à-dire sans manipulation extérieure afin que seules les données réellement susceptibles d’être utilisées par les entreprises soient collectées et stockées.  

Par conséquent, le principe de privacy by default s’étend à la quantité de données personnelles collectées ou encore à l’étendu du traitement des données, la durée de conservation des données ainsi que l’accessibilité de ces données.  

c. Le principe de “ privacy by design”

Le principe de “privacy  by design” désigne le principe de portabilité des données personnelles des utilisateurs des services de traitement. Selon ce principe, les responsables du traitement des données à caractère personnel doivent obligatoirement mettre en place des règles internes et mettre en œuvre des mesures qui garantissent le respect de la protection des données personnelles.  

Ce principe de portabilité a pour but de protéger les données personnelles des individus.

À cet effet, le principe de privacy by design impose aux entreprises utilisatrices de données personnelles d’intégrer cette protection dès la conception du projet relatif au traitement des données personnelles des individus. Cela, afin de minimiser les risques de non-respect des principes relatifs à la protection des données et ainsi, être en conformité avec le RGPD.  

Pour ce faire, l’entreprise doit prendre les mesures et mettre en place des techniques organisationnelles adéquates au traitement des données personnelles.  

Les mesures et techniques organisationnelles s’apprécient en fonction de la finalité recherchée par l’entreprise en charge de traiter les données personnelles des individus.  

En définitive, le principe de privacy by design permet de mettre en place des mesures préventives qui ont pour objectif de limiter les risques d’atteinte au respect de la vie privée et ainsi, éviter aux entreprises ou organisations le paiement d’une amende pour non-respect du RGPD.  

Le principe de privacy by design est un régulateur de l’utilisation des données personnelles des usagers des services de traitement de données.  

En effet, les entreprises et organisations chargées de traiter des données personnelles ne doivent pas collecter des données personnelles de leurs usagers sans raison légitime. Le RGPD prévoit également la possibilité pour un usager de supprimer ses données de la base de données sur laquelle elles sont conservées lorsque leur stockage n’est pas utile.  

Ce principe permet aux usagers d’avoir un certain contrôle sur leurs données personnelles.

Il est question d’inciter les entreprises à adopter des méthodes techniques de protection des données dès la conception des processus de collecte de données dans l’objectif de garantir à leurs usagers que leurs données personnelles sont protégées et sécurisées.  

Dès lors, les entreprises concernées doivent respecter un ensemble de règles relatives à la sécurité des données notamment en matière de collecte, de transfert et conservation des données mais aussi, limiter la perte de données personnelles et sensibles afin d’empêcher la survenance d’un dommage dans le but d’obtenir une bonne réputation favorisant l’arrivée de nouveaux acteurs potentiels pour l’entreprise concernée.  

En définitive, le principe de privacy design repose sur plusieurs principes :

  • La mise en œuvre de mesures préventives afin de prévenir les violations de la protection des données personnelles ; 
  • La mise en place d’une protection des données personnelles par défaut c’est-à-dire que les entreprises chargées de la protection des données personnelles sont tenues de mettre en place un système de protection implicite et par défaut ;
  • Les entreprises doivent protéger les données personnelles de leurs usagers dès la conception des systèmes de protection de la vie privée ;
  • Les entreprises doivent garantir la sécurité et protéger la vie privée de leurs utilisateurs tout au long du projet mais également pendant toute la durée de la conservation des données personnelles ;
  • Les entreprises doivent également veiller à ce que leurs pratiques soient visibles et restent transparentes ;
  • Les entreprises doivent obligatoirement respecter la vie privée de leurs utilisateurs ;
  • Elles doivent garantir à leurs usagers une protection optimale de leurs données personnelles ;

Ces éléments sont les fondements du principe de privacy by design et doivent être respectés à chaque étape du processus.

Pour y parvenir le responsable du traitement des données personnelles doit mettre en œuvre les mesures et techniques adéquates lui permettant de garantir le respect du RGPD.

La personne chargée de mettre en place les mesures et techniques adéquates pour respecter le RGPD est le délégué à la protection des données. Ce dernier devra tenir compte du type de traitement et du contexte dans lequel il a été réalisé : nature des données (sensibles ou non), finalités poursuivies et risques qui peuvent peser sur le traitement des données et sur les droits et libertés des utilisateurs.  

Par ailleurs, la responsabilité de la protection des données peut aussi incomber à des sous-traitants selon l’article 4 du RGPD “toute personne traitant des données à caractère personnel pour le compte de responsable, ces derniers sont qualifiés de sous-traitant".

En effet, l’article 4 du RGPD prévoit que le traitement des données personnelles peut être effectué par une ou plusieurs personnes désignées qui détermine les moyens de traitement des données.

De plus, la notion de responsables conjoints du traitement des données personnelles est prévue par l’article 26 du RGPD selon lequel en présence de plusieurs responsables, ceux-ci doivent déterminer conjointement les finalités et les moyens mis en œuvre pour le traitement des données.

Par conséquent, les responsables du traitement doivent également définir de manière transparente leurs obligations respectives dans un contrat afin de respecter les règles du RGPD notamment les règles relatives à l’exercice des droits des personnes dont les données personnelles sont traitées.  

En somme, les responsables de traitement des données personnelles doivent à la fois mettre en place les mesures nécessaires au respect du RGPD tout en démontrant leur mise en œuvre car le responsable a une obligation de renseignements sur l’ensemble des traitements qu’il effectue.  

Bon à savoir :

La CNIL estime que le responsable du traitement des données personnelles doit être autonome dans la mise en œuvre et la gestion du traitement des données.

En appliquant les principes vus précédemment au droit des sociétés, il ressort que les associés d’une société sont responsables du traitement des données qu’ils mettent en œuvre pour la poursuite de leur activité car ils prennent les décisions concernant des fichiers d’adhérents ou membres de l’entreprise chargée du traitement des données personnelles mais également concernant des fichiers de gestion, de ressources humaines et des fichiers relatifs à la paie des employés.

⇢ Afin de faciliter la rédaction de vos registres RGPD, nous mettons à votre disposition gratuitement un modèle personnalisable de registre RGPD.

1
2
3
4
5
6
7
8
9
Tonye Cottavoz
Paralegal

Consulter d’autres articles

Coffre-fort numérique et cloud souverain : définitions et contours

Le coffre-fort numérique est un dispositif permettant de stocker, sauvegarder, archiver, classer et conserver des documents à valeur probatoire.

Le Guide sur le cloud computing et les data center définit le cloud souverain comme un : "modèle de déploiement dans lequel l’hébergement et l’ensemble des traitements effectués sur des données par un service de cloud sont physiquement réalisés dans les limites du territoire national, par une entité de droit français et en application des lois et normes françaises".

de Vianne Savoli

La clause de réversibilité : ce qu’il faut savoir pour récupérer efficacement ses données

À l'ère de la numérisation, les logiciels en ligne (Software-as-a-service / SaaS) se déploient en masse pour mieux vous servir. Une multitude de solutions SaaS sont développées pour externaliser efficacement la gestion de diverses tâches.

C'est dans ce contexte que Axiocap se présente comme une solution permettant de dématérialiser vos registres d'entreprise grâce à un coffre-fort numérique collaboratif et sécurisé (CCFN).

Il est important de noter que choisir un service de cloud computing pour héberger vos données ne vous engage pas indéfiniment ! C'est pourquoi la clause de réversibilité des données doit être soigneusement prise en compte dans vos contrats informatiques.

de Raïssa MAMANE

La cybersécurité en entreprise

Selon une récente étude menée par IDC France : 70 % des entreprises françaises de plus de 500 salariés ont augmenté leur budget cybersécurité au cours de l’année 2021. En 2020, elles n'étaient que 45 %.  En ce sens, Guillaume Poupard, directeur général de l’ANSSI, assure que « l’année 2021 a sans conteste fait l’objet d’une professionnalisation des cyberattaques ».    

Mais avant de s’intéresser à la cybersécurité en entreprise, il convient d’abord de définir la cybersécurité et la notion d’entreprise.            

La cybersécurité désigne l'ensemble des moyens, qu’ils soient juridiques ou techniques que toute entreprise doit prendre pour assurer la sécurité et l'intégrité de son réseau informatique et de ses fichiers.

Concernant l’entreprise, il n'existe pas de définition juridique. Néanmoins, une approche économique la présente comme "un ensemble de moyens humains, matériels et financiers, orientés vers une finalité économique".  

Après avoir donné une définition de la cybersécurité, il paraît opportun de s’intéresser aux mots clés qui gravitent autour de ce sujet :  

  • Cybercriminalité : Ensemble des activités illégales effectuées par l'intermédiaire de l’informatique ou d'Internet.
  • Cybermenaces : Tentatives malveillantes destinées à perturber un système informatique ou un réseau en volant des données ou en accédant à des fichiers non autorisés.
  • Cyberattaques : Tentatives indésirables de voler, d'exposer, de modifier, de désactiver ou de détruire des informations via un accès non autorisé aux systèmes informatiques.

Les entreprises françaises ont progressé dans leur réaction face au risque que représentent les cyberattaques. En effet, nous pouvons observer une augmentation du budget lié à la cybersécurité mais aussi de nombreuses campagnes de sensibilisation ou encore le recours aux cyber-assurances. Cependant, cela reste encore insuffisant. Les entreprises doivent donc poursuivre leurs efforts.      

Dans un tel contexte, comment les entreprises françaises tentent-elles de lutter contre les cyberattaques ?  

Dans cet article, nous allons déterminer les piliers de la cybersécurité, mais aussi en définir les enjeux et les risques. Puis, nous allons nous intéresser au fonctionnement interne des entreprises pour découvrir comment elles se protègent des cyberattaques ?  

de Raïssa MAMANE

La législation évoquée relève exclusivement du droit français. 🇫🇷