RGDP FAQ

Questions fréquentes (FAQ) sur le RGPD

Le règlement général sur la protection des a pour objectif est de protéger la vie privée des citoyens de l'Union européenne (UE). Ces nouvelles dispositions réglementaires régissent la façon dont les entreprises privées et les organismes publics doivent traiter les données à caractère personnel sensibles des citoyens européens. Elles prévoient de lourdes pénalités financières en cas de non-respect. Voici les questions fréquentes sur le RGPD.

1) Qu’est-ce que le RGPD ?

Le règlement général sur la protection des données (RGPD) est une nouvelle législation de l’Union européenne (UE) qui renforce la protection des données privées des résidents de l’UE. Il remplace la mosaïque actuelle de législations nationales en matière de confidentialité des données à caractère personnel par un ensemble unique de règles directement appliquées par chaque État membre de l’UE.

2) Le RGPD s’applique-t-il uniquement aux entreprises établies dans l’Union européenne ?

Contrairement à une idée reçue, la réponse est non. Toute entreprise qui possède des clients dans l’Union européenne et qui collecte ou traite de toute autre manière les données à caractère personnel de ces clients est tenue de se conformer au RGPD.

3) Quelle est la définition du terme « données à caractère personnel » dans le cadre du RGPD ?

On entend par « données à caractère personnel » toute information pouvant être utilisée pour identifier une personne. Cette définition est beaucoup plus large que la définition historique d’informations d’identification personnelles. Elle inclut le nom de la personne, l’adresse e-mail, les publications sur les réseaux sociaux, les informations propres à son identité physique, physiologique, culturelle ou génétique, les renseignements médicaux, les données de localisation, les coordonnées bancaires, l’adresse IP, les cookies, etc.

4) Quel est le rôle exact du RGPD ?

Le RGPD règlemente la collecte, le stockage, le transfert et/ou l’utilisation de toutes les données à caractère personnel (opérations collectivement désignées par le terme « traitement ») appartenant à des résidents de l’UE. Toute organisation qui traite les données à caractère personnel de résidents de l’UE, y compris par le suivi de leur localisation ou de leurs activités (p. ex. au moyen de cookies de navigateur), relève de ce règlement, même si l’organisation chargée de ce traitement n’est pas physiquement établie dans l’UE. Le règlement fait la distinction entre les « responsables du traitement » et les « sous-traitants ».

Le responsable du traitement est l’organisme qui détermine les moyens et les finalités du traitement des données à caractère personnel. Tout tiers engagé par un responsable du traitement pour effectuer des opérations sur des données à caractère personnel (p. ex. un fournisseur de services de stockage dans le Cloud) est un sous-traitant.

5)  Quel est l’impact du RGPD sur la protection de la vie privée ?

Le RGPD renforce de façon significative la protection de la vie privée des résidents de l’UE et impose des obligations importantes aux entreprises, institutions ou individus qui traitent leurs données à caractère personnel. Dans le cadre du RGPD, les obligations des responsables du traitement de données à caractère personnel sont les suivantes :

Droits de la personne concernée :

Les résidents de l’UE peuvent exercer un meilleur contrôle sur leurs données à caractère personnel et demander notamment aux responsables du traitement de leur en fournir des copies, de les rectifier et de les supprimer totalement.

Preuve de la conformité :

Les responsables du traitement doivent mettre en œuvre des règles et des procédures adéquates de protection des données et conserver un registre détaillé sur leurs activités de traitement des données.

Notifications des violations de sécurité :

Les responsables du traitement doivent signaler toute violation de données aux autorités de contrôle locales compétentes et informer les personnes concernées.

Sanctions en cas de non-respect :

Les autorités de contrôle compétentes peuvent imposer de lourdes amendes aux organisations n’ayant pas respecté le règlement, dont le montant dépend de la gravité de la violation et des dommages subis.

rgpd faq

Le RGPD impose-t-il le maintien des données à caractère personnel dans l’UE ?

Pas exactement, mais il est difficile de transférer des données à caractère personnel à l’extérieur de l’UE (« transfert transfrontalier des données ») tout en respectant le RGPD. Plusieurs règles sont à prendre en compte.
Premièrement, les transferts de données sont généralement autorisés vers tout pays destinataire figurant sur la liste des destinations dotées d’une sécurité « adéquate », autrement dit dont les mesures de protection de la confidentialité des données sont conformes aux exigences de l’UE.

Dans certains cas, si le pays dans son ensemble n’est pas jugé adéquat, certains territoires ou secteurs peuvent l’être. Début 2018, la liste validée comprenait tous les pays de l’UE, trois pays hors UE appartenant à l’Espace
économique européen (Islande, Liechtenstein et Norvège) et un petit nombre d’autres pays et territoires (Andorre, Argentine, Canada, Guernesey, Île de Man, Îles Féroé, Israël, Jersey, Nouvelle Zélande, Suisse et Uruguay).

Les transferts de données sont également autorisés vers des destinations recourant à des « règles d’entreprise contraignantes » conformes aux exigences de l’UE. Ces règles autorisent certaines entités légales au sein d’une entreprise et, dans certains cas, des groupes d’entreprises indépendantes engagées dans une activité économique conjointe, à transférer des données à caractère personnel.

Pour ce faire, les règles d’entreprise contraignantes applicables devront être approuvées par une autorité de contrôle compétente et répondre aux critères de cohérence de l’UE.

D’autres destinations sont autorisées si elles respectent certains « codes de conduite » et « mécanismes de certification » généralement élaborés par une association professionnelle ou l’un de ses organes représentatifs, et uniquement sous réserve de leur approbation par les autorités de contrôle compétentes.

D’autres transferts de données sont également légitimes s’ils relèvent de l’article « Dérogations pour des situations particulières ». Il s’agit, par exemple, de tout transfert de données à caractère personnel répondant à l’une des conditions suivantes :

  • La personne concernée a donné son consentement explicite et a été informée des risques potentiels.
  • Le sous-traitant doit respecter une obligation contractuelle ou répondre à une requête légale.
  • Le transfert est nécessaire pour des motifs d’intérêt public ou pour la sauvegarde des intérêts vitaux de la personne concernée
  • Le transfert est nécessaire dans le respect des « intérêts légitimes » du responsable du traitement, sur lesquels ne prévalent pas les droits de la personne concernée.

Le responsable du traitement des données doit évaluer les circonstances du transfert et prendre des mesures raisonnables pour protéger les données à caractère personnel

En un mot, il est généralement plus simple, moins risqué et moins coûteux pour la plupart des entreprises de ne pas transférer de données à caractère personnel à l’extérieur de l’UE et des pays de la liste approuvée.

Le transfert de données à caractère personnel dans tout autre pays engendrera des frais et du travail supplémentaires ; vous devrez présenter aux autorités de contrôle compétentes toutes les mesures prises pour protéger ces données au titre du RGPD.

Si vous décidez d’appliquer des règles d’entreprise contraignantes, des codes de conduite, des mécanismes de certification et/ou des dérogations pour des situations particulières afin de justifier d’autres types de transferts transfrontaliers de données, prenez conseil auprès de juristes compétents.

partger cet article

Partager sur facebook
Partager sur twitter
Partager sur linkedin
Partager sur email