search

Quand le RGPD ne sapplique pas ?

1 ans depuis
commentaires: 0
Vues: 46

Le RGPD, qu’est-ce que c’est ?

Le règlement général de protection des données (RGPD) est un texte réglementaire européen qui encadre le traitement des données de manière égalitaire sur tout le territoire de l’Union Européenne. Il est entré en application le 25 mai 2018.

Show

Le RGPD s’inscrit dans la continuité de la Loi française Informatique et Libertés de 1978 établissant des règles sur la collecte et l’utilisation des données sur le territoire français. Il a été conçu autour de 3 objectifs :

  • renforcer les droits des personnes
  • responsabiliser les acteurs traitant des données
  • crédibiliser la régulation grâce à une coopération renforcée entre les autorités de protection des données.

Données personnelles : de quoi parle-t-on ?

Une donnée personnelle est décrite par la CNIL comme « toute information se rapportant à une personne physique identifiée ou identifiable ». Il existe 2 types d’identifications :

  • identification directe (nom, prénom etc.)
  • identification indirecte (identifiant, numéro etc.).

Lorsqu’une opération ou un ensemble d’opérations portant sur des données personnelles sont effectuées, on considère qu’il s’agit de traitement de données personnelles. La CNIL donne les actions suivantes à titre d’exemple du traitement des données :

  • tenue d’un fichier de ses clients
  • collecte de coordonnées de prospects via un questionnaire
  • mise à jour d’un fichier de fournisseurs

Lire aussi : Règlement général sur la protection des données (RGPD), des droits renforcés pour les consommateurs

Êtes-vous concerné par le RGPD ?

Le RGPD s’adresse à toute structure privée ou publique effectuant de la collecte et/ou du traitement de données, et ce quel que soit son secteur d'activité et sa taille. Le règlement s’applique à tous les organismes établis sur le territoire de l’Union Européenne, mais aussi à tout organisme implanté hors de l’UE mais dont l’activité cible directement des résidents européens.

À noter que le RGPD concerne également les sous-traitants, c’est-à-dire toute structure qui traiterait ou collecterait des données personnelles pour le compte d’une autre entité.

Faire l’autodiagnostic de votre entreprise face au RGPD

Lire aussi : Utilisation de données personnelles : vos obligations d'information vis-à-vis de l'internaute

Conformité au RGPD : aide de la CNIL

Les conseils de la CNIL pour appliquer le RGPD

La CNIL délivre 4 bons réflexes pour appliquer le RGPD. Ces actions doivent perdurer dans le temps pour être efficaces :

  • constituez un registre de vos traitements de données
  • faîtes le tri dans vos données (ne collectez que les données vraiment nécessaires)
  • respectez le droit des personnes en matière de consultation, de rectification ou de suppression des données
  • sécurisez vos données

La CNIL met à disposition des entreprises des kits pratiques pour mettre en place au mieux le RGPD.

Lire aussi : Règlement général sur la protection des données (RGPD : attention aux anarques !

La formation de la CNIL pour se conformer au RGPD

La CNIL a lancé, en mars 2019, une formation en ligne sur le RGPD : « L'atelier RGPD ». Ce MOOC a été élaboré par les juristes et les experts de la CNIL. Il est gratuit et ouvert jusqu'en septembre 2021. Tous les professionnels souhaitant découvrir ou mieux appréhender le RGPD peuvent s'y inscrire. Il est structuré en 4 modules d'une durée moyenne de 5 heures :

  • module 1 : le RGPD et ses notions clés
  • module 2 : les principes de la protection des données
  • module 3 : les responsabilités des acteurs
  • module 4 : le DPO et les outils de conformité.

Une attestion de suivi sera remise aux participants à l'issue de la formation.

S'inscrire à L'atelier RGPD

Le ministère s'engage sur la protection de vos données

Le ministère de l’Économie et des finances et le ministère de l’Action et des comptes publics s’engagent à ce que la collecte et le traitement de vos données, effectués à partir du portail economie.gouv.fr, soient conformes au règlement général sur la protection des données (RGPD) et à la loi Informatique et Libertés.

Traitement des données personnelles sur economie.gouv.fr

Lire aussi : Sécurité de vos données : qu'est-ce que l'attaque par hameçonnage ciblé (spearphishing) ?

Publié initialement le 29/05/2018

Le RGPD est directement applicable au 25 mai 2018 dans tous les pays de l’Union européenne (UE). Ces derniers disposent toutefois de marges de manœuvre sur plus d’une cinquantaine de points (majorité numérique, etc.).

L’esprit du RGPD

Le RGPD remplace une directive du 24 octobre 1995, qui était jusqu'alors le socle européen en matière de protection et de circulation des données personnelles. La directive de 1995 a permis une harmonisation des législations des pays de l’UE sur le sujet mais cette harmonisation était imparfaite et partielle et créait une "insécurité juridique".

Le règlement d’avril 2016 entend donner une vision commune et homogène de la protection des données personnelles dans l’UE. Il renforce le droit des individus sur leurs données. Dans son premier considérant, celui-ci rappelle d’ailleurs que la protection des données personnelles est un droit fondamental. Ce droit est consacré à la fois par l'article 8 de la Charte des droits fondamentaux de l’UE et par l’article 16 du Traité sur le fonctionnement de l’UE (TFUE) qui disposent que "toute personne a droit à la protection des données à caractère personnel la concernant". Ce droit n’est cependant pas absolu et doit être concilié avec d’autres droits, comme la liberté d’entreprise.

Quand le RGPD ne sapplique pas ?

Le champ d’application du RGPD

Le règlement s’applique à tous les traitements de données à caractère personnel, sauf exceptions (par exemple les fichiers de sécurité qui restent régis par les États membres ou encore les traitements en matière pénale qui relèvent d’une directive également du 27 avril 2016).

Il concerne les responsables de traitement (entreprises, administrations, associations ou autres organismes) et leurs sous-traitants (hébergeurs, intégrateurs de logiciels, agences de communication, etc.) établis dans l’UE et quel que soit le lieu de traitement des données. Il s'étend également aux responsables de traitement et à leurs sous-traitants établis hors de l’UE, dès lors qu’ils mettent en œuvre des traitements visant à fournir des biens ou des services à des résidents européens ou à les cibler (profilage notamment pour prédire leurs préférences ou comportements, etc.). L’enjeu est de rehausser les standards de protection au-delà des frontières européennes.

En pratique, le règlement s’applique donc à chaque fois qu’un résident européen, quelle que soit sa nationalité, est directement visé par un traitement de données, y compris par internet ou par le biais d’objets connectés (comme les appareils domotiques, les objets mesurant l’activité physique, etc.).

Quand le RGPD ne sapplique pas ?

Un cadre plus protecteur pour les données personnelles des particuliers

Le RGPD reprend de nombreux grands principes déjà inscrits dans le droit européen et dans la loi "Informatique et libertés" du 6 janvier 1978, dite loi CNIL

Les données personnelles doivent être "traitées de manière licite, loyale et transparente" et "collectées pour des finalités déterminées, explicites et légitimes". Elles doivent être "adéquates, pertinentes et limitées" aux finalités du traitement, être "exactes et, si nécessaire, tenues à jour". Elles doivent être conservées de façon réduite dans le temps et dans des conditions de "sécurité appropriée".

Comme précédemment, les personnes disposent du droit d’accéder à leurs données ou de demander à les rectifier ou de s’y opposer. Elles ont aussi un droit à l’oubli c’est-à-dire un droit à l’effacement de leurs données et au déréférencement (droit de demander à un moteur de recherche de supprimer certains résultats associés à ses noms et prénoms). Ces droits sont complétés et consacrés.

Le RGPD renforce les droits des personnes

Il élargit les informations qui doivent être fournies par les responsables de traitement et leur impose de mettre à disposition des personnes concernées une information claire, simple et facilement accessible. Les personnes doivent, sauf exceptions, donner leur consentement au traitement de leurs données ou pouvoir le retirer à tout moment. Le consentement doit être donné de façon "éclairée et univoque" (interdiction notamment des cases pré-cochées).

Le consentement des enfants est pour la première fois encadré. Le RGDP fixe à 16 ans l’âge à partir duquel un mineur peut consentir seul au traitement de ses données personnelles pour utiliser un service sur internet, typiquement les réseaux sociaux. On parle de majorité numérique. En deçà de 16 ans, l’autorisation des parents est nécessaire. Les États membres peuvent toutefois abaisser ce seuil jusqu'à 13 ans (la France l’a fixé à 15 ans).

En outre, la liste de catégories spéciales de données personnelles dites sensibles et qui bénéficient d’une protection particulière est complétée. Il s’agit désormais des données relatives à l’origine raciale ou ethnique, aux opinions politiques, aux convictions religieuses ou philosophiques, à l’appartenance syndicale, aux données génétiques ou biométriques, à la santé, à la vie sexuelle ou à l’orientation sexuelle des personnes. Le traitement de ces données est interdit, sauf dans des cas limitatifs et sous conditions. Les États membres peuvent prévoir des conditions supplémentaires, y compris des limitations, pour les données génétiques, biométriques ou de santé.

Le RGPD accorde également une plus grande protection face au profilage. Il maintient le droit pour toute personne de ne pas faire l’objet d’une décision exclusivement fondée sur un traitement automatisé, y compris le profilage (par exemple recrutement en ligne sans aucune intervention humaine). À titre exceptionnel, les décisions individuelles automatisées sont toutefois autorisées mais les personnes disposent de garanties supplémentaires.

Le RGPD crée de nouveaux droits 

  • Droit à la portabilité de ses données : toute personne doit pouvoir récupérer les données qu’elle a fournies à une plateforme et les transférer gratuitement à une autre (réseau social, etc.) ;
  • Droit à notification en cas de piratage de ses données personnelles : la personne concernée doit être rapidement avertie par le responsable du traitement, sauf dans certaines situations (par exemple données déjà chiffrées) ;
  • Action de groupe : toute personne peut mandater une association ou un organisme actif dans le domaine de la protection des données pour introduire une réclamation ou un recours et obtenir réparation en cas de violation de ses données ;
  • Droit à réparation du dommage matériel ou moral : toute personne qui a subi un tel dommage du fait de la violation du RGPD peut obtenir du responsable du traitement ou du sous-traitant la réparation de son préjudice.

Quand le RGPD ne sapplique pas ?

Une responsabilisation accrue des acteurs traitant des données

Le RGPD modifie les obligations qui s’imposent aux acteurs traitant des données personnelles. Les formalités préalables auprès des autorités de protection des données auxquelles étaient soumis ces acteurs sont remplacées par des mécanismes de conformité et de responsabilité.

La première obligation pesant sur les responsables de traitement est de mettre en œuvre toutes les mesures techniques et organisationnelles nécessaires à la protection des données personnelles. Cette protection doit se faire dès la conception du produit ou du service (principe de minimisation des données) et par défaut. Cette obligation s’applique également aux sous-traitants qui doivent présenter des garanties suffisantes en vue d’assurer la protection des données personnelles.

Les responsables de traitement et leurs sous-traitants doivent garantir un niveau de sécurité et de confidentialité approprié et pouvoir démontrer à tout moment que le traitement est effectué conformément au règlement européen.

Hormis les cas où le droit des États membres peut maintenir des autorisations pour certaines catégories de données ou de traitements (par exemple en matière de santé), la plupart des obligations déclaratives et des autorisations préalables sont supprimées.

Pour les responsables de traitement présentant un risque élevé pour les droits et libertés des personnes, elles sont remplacées par l’obligation de mener une étude d’impact sur la vie privée (EIVP ou PIA). Concrètement sont visés les traitements de données sensibles (ceux touchant aux opinions politiques, religieuses, aux données génétiques ou biométriques, etc.) et les traitements reposant sur l’évaluation des personnes, notamment sur le profilage. En cas de risque élevé, le responsable du traitement doit consulter son autorité de protection, qui peut s’opposer au traitement.

L’allègement des formalités des acteurs traitant des données se traduit notamment par :

  • la désignation d’un délégué à la protection des données (obligatoire pour les autorités et organismes publics ainsi que pour les responsables et sous-traitants qui suivent à grande échelle et de façon systématique des personnes ou traitent à grande échelle des données sensibles ou relatives à des condamnations pénales et infractions) ;
  • l’obligation de tenir une documentation, en particulier un registre des activités des traitements pour toutes les entreprises de plus de 250 salariés et, dans des cas particuliers, pour les plus petites structures ;
  • la participation à des mécanismes de certification des traitements ;
  • l’adhésion à des codes de bonne conduite élaborés par des associations ou organismes représentant des catégories de responsables de traitement ou sous-traitants (ces codes sont soumis à l’avis des autorités de protection qui les publient) ;
  • l’obligation de notifier dans les 72 heures à leur autorité de protection les fuites de données personnelles.

Des outils supplémentaires sont prévus pour encadrer les transferts de données vers des pays hors UE. Ces derniers sont par défaut interdits, sauf s’ils respectent plusieurs conditions. C’est le cas par exemple si la Commission européenne décide que le pays tiers "assure un niveau de protection adéquat". C’est sur ce mécanisme que repose le "Privacy shield", l’accord conclu en 2016 entre l’UE et les États-Unis sur le transfert transatlantique de données.

Une redéfinition du rôle des autorités de protection des données

Le RGPD redéfinit le rôle des autorités de protection des données (APD) des pays membres. En France, c’est la Commission nationale de l’informatique et des libertés (CNIL) qui assure cette mission.

Ces dernières passent d’une activité de contrôle a priori à une activité de contrôle a posteriori (notamment sur les études d’impact de la vie privée et les registres des activités de traitements). Elles ont un nouveau rôle d’accompagnement des entreprises, notamment des petites et moyennes entreprises, des organismes publics ainsi que des délégués à la protection des données (DPD).

Le RGPD instaure, par ailleurs, un mécanisme de guichet unique afin d’améliorer la coopération entre les autorités de protection des données en cas de traitements transnationaux. Dans ces cas, l’entreprise ne rend compte qu’à une seule autorité de protection, celle du pays où se situe son établissement principal. Cette autorité, désignée comme autorité "chef de file", coopère avec les autres autorités de protection concernées (assistance mutuelle, enquêtes communes, etc.) pour s’assurer de la conformité des traitements mis en œuvre. Les décisions sont adoptées conjointement par l’ensemble de ces autorités, notamment en termes de sanctions. En cas de désaccord entre l’autorité chef de file et les autres autorités de protection quant aux mesures proposées, l’affaire est portée devant le Comité européen de la protection des données (CEPD). Ce dernier, qui remplace le G29, est chargé de veiller à l’application uniforme du RGPD dans l’UE.

Enfin, le RGPD permet aux autorités de protection de prononcer des amendes administratives plus importantes. En cas de violation du règlement, ces amendes peuvent désormais atteindre, selon la catégorie du manquement, 10 à 20 millions d’euros ou, dans le cas d’une entreprise, 2% à 4% du chiffre d’affaires annuel mondial, le montant le plus élevé étant retenu. Les États membres peuvent prévoir ou non dans leur législation de telles amendes pour leurs autorités et organismes publics.

Quand le RGPD ne sapplique pas ?

Quand le RGPD ne sapplique pas ?

Quelles sont les données personnelles concernées par le RGPD ?

Le RGPD : qui est concerné ? Le RGPD est susceptible de s'appliquer à tout organisme traitant des données personnelles dans le cadre de son activité ou pour le compte d'un tiers, et ce quels que soient son pays d'implantation, sa taille et son activité.

Qu'est

Une donnée personnelle est toute information se rapportant à une personne physique identifiée ou identifiable. Mais, parce qu'elles concernent des personnes, celles-ci doivent en conserver la maîtrise.

Quelles sont les quatre étapes à respecter dans le cadre du RGPD ?

le consentement de la personne concernée, etc.) ; qui a accès aux données (les services internes compétents, un prestataire, etc.) ; combien de temps vous conservez les données (la durée de conservation) ; comment les personnes peuvent exercer leurs droits (via leur espace personnel.

Qui n'est pas concerné par la RGPD ?

Les traitements non concernés par le RGPD Les traitements sur des données à caractère personnel d'individus ne résidant pas dans l'union européenne ou n'ayant pas la citoyenneté européenne ne sont pas concernés par le RGPD.

Quest Sanction RGPD RGPD données personnelles RGPD Wikipédia RGPD PDF Article 6 RGPD

Articles Similaires

Quand est la prochaine mise à jour fortnite
Quand est la prochaine mise à jour fortnite

Quel est le lien entre le PIB et le chômage ?
Quel est le lien entre le PIB et le chômage ?

Quels sont les émissions du transport?
Quels sont les émissions du transport?

Quelle est la température de la zone polaire?
Quelle est la température de la zone polaire?

Comment marcher avec une arthrose du genou
Comment marcher avec une arthrose du genou

Activité manuelle avec baton de glace
Activité manuelle avec baton de glace

Solution pour le développement de l'afrique
Solution pour le développement de l'afrique

Pourquoi le CO2 augmente dans la maison ?
Pourquoi le CO2 augmente dans la maison ?

Peut on travailler avec une otite
Peut on travailler avec une otite

Comment motiver les salariés d'une entreprise ?
Comment motiver les salariés d'une entreprise ?

Publicité

DERNIÈRES NOUVELLES

Comment être bien avec soi ?
1 ans depuis . par AssembledDisarmament
Financier avec 6 blancs d'oeufs
1 ans depuis . par LukewarmSolitude
Que faire avec 1 blanc d oeuf
1 ans depuis . par LoathsomeConsolidation
Coque iphone 11 pro avec bague
1 ans depuis . par ExcellentBarrister
Quelle batterie pour iPhone X ?
1 ans depuis . par EventualVulnerability
Connecter 2 paires AirPods iPad
1 ans depuis . par EconomicDiagnosis
Quelle couleur va avec le blanc
1 ans depuis . par PoorContents
Dessert avec rien dans le frigo
1 ans depuis . par WindingRapport
Iphone n apparait pas sur pc
1 ans depuis . par FeedingInflux
Capture d écran sur iphone 11
1 ans depuis . par ObjectiveWidget

Publicité

Populer

Publicité

À propos de

Juridique

Aider

Sociale

homeendefrjakoptzhhiit
droits d'auteur © 2024 fr.wiewird Inc.