RGPD : ce que c’est, pourquoi il existe et qui est responsable

1) Qu’est-ce que le RGPD (GDPR)

Le General Data Protection Regulation (GDPR), connu en français comme Règlement général sur la protection des données (RGPD), est le texte de l’Union européenne qui établit les règles relatives au traitement des données personnelles des personnes situées dans l’Espace économique européen (EEE). Le Royaume-Uni dispose de sa propre version, le UK GDPR, fondée sur les mêmes principes.

Le RGPD promeut la transparence, le contrôle par la personne concernée et la responsabilisation de l’écosystème (accountability), en alignant la protection de la vie privée et l’innovation de manière responsable.

2) Pourquoi le RGPD existe

• Harmoniser les règles de protection des données dans l’UE/EEE ;
• Protéger les droits fondamentaux et les libertés ;
• Donner le contrôle aux personnes concernées (accès, rectification, portabilité, opposition, etc.) ;
• Renforcer la confiance et le marché unique numérique ;
• Réduire les risques d’usage abusif et de violation de données.

3) Champ d’application et territorialité (UE/EEE et UK GDPR)

Le RGPD s’applique aux organisations établies dans l’UE/EEE ainsi qu’aux organisations situées hors UE/EEE qui offrent des biens ou des services à des personnes dans l’EEE ou qui surveillent le comportement de personnes sur le territoire de l’EEE. Pour le Royaume-Uni, c’est le UK GDPR qui s’applique, avec des similarités et quelques ajustements locaux.

4) Principes du RGPD

• Licéité, loyauté et transparence ;
• Limitation des finalités ;
• Minimisation des données ;
• Exactitude (correction/mise à jour) ;
• Limitation de la conservation (durée de rétention strictement nécessaire) ;
• Intégrité et confidentialité (sécurité) ;
• Responsabilisation (accountability).

5) Bases juridiques (Art. 6)

• Consentement (libre, spécifique, éclairé et univoque) ;
• Exécution d’un contrat ou mesures précontractuelles ;
• Obligation légale ;
• Intérêts vitaux de la personne concernée ou d’une autre personne ;
• Mission d’intérêt public / exercice de l’autorité publique ;
• Intérêts légitimes du responsable du traitement (mise en balance et garanties).

6) Données particulières et pénales (Arts. 9 et 10)

Le RGPD prévoit des catégories particulières de données (par ex. santé, biométrie, origine raciale ou ethnique, convictions religieuses) et des données relatives aux condamnations pénales et infractions. En règle générale, leur traitement exige des conditions supplémentaires (p. ex. consentement explicite, obligation légale, médecine préventive, intérêt public important).

7) Qui est responsable : rôles et devoirs

• Personne concernée (Data Subject) : personne physique à laquelle les données se rapportent.
• Responsable du traitement (Controller) : détermine les finalités et les moyens du traitement.
• Sous-traitant (Processor/Opérateur) : traite les données pour le compte du responsable, sur la base d’un contrat (Art. 28).
• DPO (Data Protection Officer / Délégué à la protection des données) : conseille, surveille la conformité et est le point de contact avec les autorités et les personnes concernées (obligatoire dans certains cas).
• Autorités de contrôle (ex. : CNIL/FR, CNPD/PT, AEPD/ES, ICO/UK) : contrôlent, orientent et sanctionnent.

8) Droits des personnes concernées

• Droit d’accès et d’information ;
• Droit de rectification ;
• Droit à l’effacement (« droit à l’oubli », sous certaines conditions) ;
• Droit à la limitation du traitement ;
• Droit à la portabilité des données ;
• Droit d’opposition au traitement (notamment au marketing direct) ;
• Décisions automatisées et profilage (droit à une intervention humaine lorsque applicable).

Les organisations doivent répondre dans un délai approprié (en principe, jusqu’à 1 mois, prolongeable pour les demandes complexes) et vérifier l’identité du demandeur.

9) Obligations pour les organisations

• Tenue d’un registre des activités de traitement (RoPA – Art. 30) ;
• Analyses d’impact (DPIA) lorsque le traitement présente un risque élevé (Art. 35) ;
• Contrats avec les sous-traitants (DPA – Art. 28) ;
• Mesures de sécurité appropriées au risque (Art. 32) ;
• Protection des données dès la conception et par défaut (privacy by design & by default – Art. 25) ;
• Gouvernance et accountability (politiques, formations, audits, journaux) ;
• Transparence (informations claires dans les politiques de confidentialité – Arts. 13/14) ;
• Gestion du consentement (le cas échéant) et des préférences – avec attention à l’ePrivacy/cookies ;
• Documentation des bases juridiques et des finalités, avec minimisation et durées de conservation adaptées ;
• Sanctions : amendes pouvant aller jusqu’à 20 M€ ou 4 % du chiffre d’affaires annuel mondial, selon le montant le plus élevé.

10) Transferts internationaux

Le transfert de données en dehors de l’EEE/du Royaume-Uni nécessite des mécanismes appropriés : décisions d’adéquation, Clauses contractuelles types (SCC) de l’UE, compléments comme l’IDTA (UK), binding corporate rules (BCR) ou d’autres garanties, ainsi que des analyses de risques.

11) Incidents et notifications (72 h)

Les violations de données personnelles susceptibles d’engendrer un risque pour les droits et libertés doivent être notifiées à l’autorité compétente dans un délai de 72 heures après en avoir pris connaissance (Art. 33). Les personnes concernées peuvent également devoir être informées (Art. 34).