Le Règlement Général sur la Protection des Données (RGPD) est le nouveau cadre juridique de l’Union européenne qui gouverne la collecte et le traitement des données à caractère personnel des utilisateurs. Il est entré en vigueur le 25 mai 2018 et s’applique à toutes les entités implantées dans un pays européen qui traitent des données à caractère personnel, ainsi qu’à toutes les entités à travers le monde qui traitent des données à caractère personnel appartenant à des résidents de l’UE.
Le Règlement général sur la protection des données (RGPD) est en vigueur depuis mai 2018, mais il reste méconnu. Voici une FAQ pour répondre aux principales questions sur le texte.
Le Règlement général sur la protection des données (RGPD) est en vigueur depuis le 25 mai 2018. (Appelé GDPR en anglais). C’est la Commission nationale de l’informatique et des libertés (CNIL), qui veille à son bon respect.
C’est le RGPD qui est a été à l’origine des nombreux mails de rappel vous priant d’accorder votre consentement pour que les services auxquels vous êtes inscrit puissent continuer à vous envoyer du courrier. C’est aussi lui qui encadre l’accès et l’usage de vos données personnelles et qui contraint les sites web à afficher des encarts d’avertissement quand vous vous connectez dessus.
Peut-être avez-vous entendu parler du RGPD. Peut-être même savez-vous que ce texte est en lien avec une loi sur les données personnelles. Pour vous aider à y voir plus clair, nous vous proposons une foire aux questions généraliste qui aborde les principaux points qu’il faut avoir en tête.
Qu’est-ce que le RGPD ?
Le Règlement général sur la protection des données (RGPD ou GDPR, pour General data protection regulation en anglais) est le nouveau cadre européen concernant le traitement et la circulation des données à caractère personnel, ces éléments sur lesquels les entreprises s’appuient pour proposer des services et des produits. Ce texte couvre l’ensemble des résidents de l’Union européenne.
Avant le RGPD — dont le nom plus solennel est le règlement du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données — existait une directive sur la protection des données personnelles qui date de 1995. Ce texte est abrogé par le RGPD.
Quel est l’objectif du RGPD ?
L’objectif du RGPD est d’être le nouveau texte de référence dans l’Union européenne au sujet des données personnelles, en remplaçant une directive datant de 1995. Une réforme de la législation européenne apparaissait nécessaire au regard de sa vétusté, révélée par l’explosion du numérique, l’apparition de nouveaux usages et la mise en place de nouveaux modèles économiques.
Il s’agit aussi d’harmoniser le panorama juridique européen en matière de protection des données personnelles, afin qu’il n’y ait qu’un seul et même cadre qui s’applique parmi l’ensemble des États membres, que ce soit en France, en Allemagne, en Italie ou en Espagne, ainsi que dans la vingtaine d’autres pays de l’Union. De cette façon, la fragmentation juridique sur le Vieux Continent s’en trouve atténuée.
C’est quoi une donnée personnelle ?
Une donnée personnelle (ou donnée à caractère personnel) est une information qui concerne une personne physique, identifiée directement ou indirectement. Il peut s’agir d’un nom, d’une photographie, d’une adresse IP, d’un numéro de téléphone, d’un identifiant de connexion informatique, d’une adresse postale, d’une empreinte, d’un enregistrement vocal, d’un numéro de sécurité sociale, d’un mail, etc.
Certaines données sont sensibles, car elles touchent à des informations qui peuvent donner lieu à de la discrimination ou des préjugés :
Une opinion politique, une sensibilité religieuse, un engagement syndical, une appartenance ethnique, une orientation sexuelle, une situation médicale ou des idées philosophiques sont des données sensibles. Elles ont un cadre particulier, qui interdit toute collecte préalable sans consentement écrit, clair et explicite, et pour des cas précis, validés par la CNIL et dont l’intérêt public est avéré.
Que change le RGPD pour l’internaute ?
Du point de vue de l’internaute, le RGPD met en place ou conforte un certain nombre de protections. Il faut par exemple que les entreprises récoltent au préalable un consentement écrit, clair et explicite de l’internaute avant tout traitement de données personnelles, ou qu’elles s’assurent que les enfants en-dessous d’un certain âge aient bien reçu l’aval de leurs parents avant de s’inscrire sur un réseau social.
Le RGPD inclut aussi une reconnaissance d’un droit à l’oubli pour obtenir le retrait ou l’effacement de données personnelles en cas d’atteinte à la vie privée, le droit à la portabilité des données, pour pouvoir passer d’un réseau social à l’autre, d’un FAI à l’autre ou d’un site de streaming à l’autre sans perdre ses informations, le droit d’être informé en cas de piratage des données.
Les internautes peuvent aussi être défendus par les associations dans le cadre d’une action de groupe en vue de faire cesser la partie illicite d’un traitement de données.