Le RGPD ou Règlement générale sur la protection des données est la réglementation européenne en vigueur depuis le 25 mai 2018, visant à renforcer le contrôle des citoyens sur leurs données personnelles (nom, adresse, …) et à responsabiliser les entreprises. Il impose des règles strictes de collecte et de stockage aux entités publiques et privées. Son objectif est d’harmoniser les règles de protection des données au sein de l’UE et protéger la vie privée.
– Application : Concerne toute organisation (entreprise, association, etc.) traitant des données personnelles de résidents de l’UE.
– Droits des personnes : Droit d’accès, de rectification, d’effacement (oubli), de portabilité et d’opposition.
– Obligations : Tenir un registre des activités de traitement, assurer la sécurité des données, et déclarer les violations à la CNIL.
– Sanctions : Des amendes très importantes peuvent être infligées par les autorités de contrôle en cas de non-conformité.
La CNIL reste particulièrement active avec 87 sanctions prononcées en 2024.
– France Travail (Janvier 2026) : Sanctionnée à hauteur de 5 millions d’euros pour des manquements graves à la sécurité des données des usagers.
– Orange (Novembre 2024) : Amende de 50 millions d’euros concernant l’affichage de publicités intrusives dans les messageries.
Il est composer en 6 principes fondamentaux qui sont retrouvable sur le site de la CNIL :
1. Ne collectez que les données vraiment nécessaires pour atteindre votre objectif
–Les données sont collectées pour un but bien déterminé et légitime et ne sont pas traitées ultérieurement de façon incompatible avec cet objectif initial.
–Le principe de finalité limite la manière dont vous pourrez utiliser ou réutiliser ces données dans le futur et évite la collecte de données « au cas où ».
–Le principe de minimisation limite la collecte aux seules données strictement nécessaires à la réalisation de votre objectif.
2. Soyez transparent
Les individus doivent conserver la maîtrise des données qui les concernent. Cela suppose qu’ils soient clairement informés de l’utilisation qui sera faite de leurs données dès leur collecte. Les données ne peuvent en aucun cas être collectées à leur insu. Les personnes doivent également être informées de leurs droits et des modalités d’exercice de ces droits.
3. Organisez et facilitez l’exercice des droits des personnes
Vous devez organiser des modalités permettant aux personnes d’exercer leurs droits et répondre dans les meilleurs délais à ces demandes de consultation ou d’accès, de rectification ou de suppression des données, voire d’opposition, sauf si le traitement répond à une obligation légale (par exemple, un administré ne peut s’opposer à figurer dans un fichier d’état civil). Ces droits doivent pouvoir s’exercer par voie électronique à partir d’une adresse dédiée.
4. Fixez des durées de conservation
Vous ne pouvez pas conserver les données indéfiniment.
Elles ne sont conservées en « base active », c’est-à-dire la gestion courante, que le temps strictement nécessaire à la réalisation de l’objectif poursuivi. Elles doivent être par la suite détruites, anonymisées ou archivées dans le respect des obligations légales applicables en matière de conservation des archives publiques.
5. Sécurisez les données et identifiez les risques
Vous devez prendre toutes les mesures utiles pour garantir la sécurité des données : sécurité physique ou sécurité informatique, sécurisation des locaux, armoires et postes de travail, gestion stricte des habilitations et droits d’accès informatiques. Cela consiste aussi à s’assurer que seuls les tiers autorisés par des textes ont accès aux données. Ces mesures sont adaptées en fonction de la sensibilité des données ou des risques qui peuvent peser sur les personnes en cas d’incident de sécurité.
6. Inscrivez la mise en conformité dans une démarche continue
La conformité n’est pas gravée dans le marbre et figée.
Elle dépend du bon respect au quotidien par les agents, à tous les niveaux, des principes et mesures mis en œuvre.
Vérifiez régulièrement que les traitements n’ont pas évolué, que les procédures et les mesures de sécurité mises en place sont bien respectées et adaptez-les si besoin.
LE DPO
Le DPO (Data Protection Officer) ou Délégué à la Protection des Données est un expert chargé de garantir la conformité au RGPD au sein d’une organisation. Il conseille la direction, sensibilise les collaborateurs, tient le registre des traitements et fait le lien avec la CNIL, protégeant ainsi les données personnelles traitées. Il agit comme un chef d’orchestre de la conformité, informant et conseillant le responsable de traitement. Il a pour mission de tenir le registre des traitements, réaliser des analyses d’impact (PIA), gérer les violations de données et coopérer avec la CNIL. La désignation est obligatoire pour les organismes publics, ceux traitant des données sensibles à grande échelle, ou effectuant un suivi régulier des personnes. Il peut être interne (salarié) ou externe (prestataire). Le DPO doit être certifier
La désignation d’un DPO est obligatoire pour :
– Toutes les autorités publiques (ministères, mairies, etc.).
– Les organismes réalisant un suivi régulier et systématique à grande échelle (ex: banques, assurances).
– Les structures traitant des données sensibles à grande échelle (ex: hôpitaux pour les données de santé).
Statut et Compétences
– Interne ou externe : Le DPO peut être un salarié ou un prestataire externe (consultant, avocat).
– Indépendance : Il doit agir sans recevoir d’instructions sur la manière d’exercer ses missions et ne peut être sanctionné pour l’exercice de celles-ci.
– Certification : Bien qu’elle ne soit pas obligatoire pour exercer, la CNIL propose un Référentiel de certification des compétences pour valider l’expertise des professionnels.
Obligations déclaratives en cas d’incident (Violation de Données) :
– Notification à la CNIL : Obligatoire si l’incident présente un risque pour les droits et libertés des personnes (ex: perte, vol, accès non autorisé, destruction de données).
– Délai : Dans les 72 heures maximum après la découverte.
– Contenu : Nature de la violation, catégories de données, nombre de personnes concernées, conséquences probables, mesures prises pour remédier à l’incident.
– Information aux personnes : Obligatoire si la violation entraîne un risque élevé (identité des données, risques encourus, mesures prises).
– Registre des violations : Même si la notification à la CNIL n’est pas nécessaire, tout incident doit être documenté en interne.
Autres obligations déclaratives et documentaires :
– Documentation de conformité : Obligation de tenir un registre des traitements et de justifier la conformité (principe d’imputabilité).
– AIPD (Analyse d’Impact) : Obligatoire avant le traitement si celui-ci est susceptible d’engendrer un risque élevé pour les personnes.
– DPO : La fin de mission d’un DPO doit être signalée rapidement à la CNIL.
Le non-respect de ces obligations peut entraîner des amendes allant jusqu’à 4 % du chiffre d’affaires mondial ou 20 millions d’euros.
(cnil.fr)