Règlement général sur la protection des données
La réglementation qui a fait des bannières de cookies les fenêtres contextuelles les plus détestées de tous
Le Règlement général sur la protection des données (RGPD) est la loi phare de l'Union européenne en matière de protection de la vie privée ; il régit la manière dont les données à caractère personnel sont collectées, traitées et protégées. Depuis mai 2018, il constitue la référence mondiale en matière de protection des données — et c'est la raison pour laquelle votre boîte de réception a été inondée de courriels du type « Nous avons mis à jour notre politique de confidentialité ».
Toute organisation qui traite les données à caractère personnel de personnes physiques dans l'UE/l'EEE, quel que soit son lieu d'implantation. Oui, cela vaut aussi pour vous, Silicon Valley.
UE/EEE + toute organisation, où qu'elle se trouve dans le monde, qui propose des biens ou des services à des personnes situées dans l'UE ou qui surveille le comportement de ces dernières.
25 mai 2018
Pour permettre aux particuliers de contrôler leurs données personnelles et simplifier le cadre réglementaire applicable aux entreprises internationales. Anecdote : ce règlement compte 88 pages, comprend 99 articles et a généré environ 4,2 milliards de fenêtres contextuelles de consentement aux cookies (estimation non officielle).
Responsable du traitement
C'est vous qui déterminez les finalités et les moyens du traitement des données à caractère personnel. En clair : c'est vous qui décidez pourquoi et comment ces données sont utilisées. Si c'est vous qui avez dit « collectons les adresses e-mail pour notre newsletter », félicitations : vous êtes le responsable du traitement.
Vos obligations
- Établir une base juridique pour chaque opération de traitement (art. 6) — « parce que nous en avons le droit » n'en fait pas partie
- Tenir un registre des activités de traitement (RoPA) qui documente les données que vous traitez et les raisons de ce traitement (art. 30)
- Réaliser des analyses d'impact relatives à la protection des données (AIPD) pour les traitements à haut risque, tels que le profilage ou la surveillance à grande échelle (art. 35)
- Signalez les violations de données à caractère personnel à votre autorité de contrôle dans un délai de 72 heures (art. 33) — week-ends et jours fériés compris
- Veiller à ce que les personnes concernées puissent exercer leurs droits : droit d'accès, de rectification, d'effacement (« droit à l'oubli »), de portabilité et d'opposition (articles 15 à 22)
- Mettre en œuvre les mesures techniques et organisationnelles appropriées pour garantir la sécurité des données (art. 32) — un post-it sur lequel figure le mot de passe de la base de données ne constitue pas une mesure suffisante
- Nommer un délégué à la protection des données (DPD) si nécessaire (art. 37)
- Ne faire appel qu'à des sous-traitants offrant des garanties suffisantes — et formaliser cet accord dans un accord de sous-traitance (art. 28)
Articles phares
Commencez par votre RoPA. Si vous ne savez pas quelles données vous traitez, vous ne pouvez pas les protéger. Considérez-le comme une carte : vous ne vous déplaceriez pas en ville sans en avoir une (à moins que vous n'aimiez vous perdre).
Traitement des données
Vous traitez des données à caractère personnel pour le compte d'un responsable du traitement. Pensez par exemple à un fournisseur d'hébergement cloud, à un service de gestion de paie ou à une plateforme d'e-mail marketing. Ce n'est pas vous qui décidez de ce qu'il faut faire de ces données : vous vous contentez d'exécuter les instructions du responsable du traitement. Un peu comme un assistant très bien rémunéré qui reçoit des consignes strictes.
Vos obligations
- Ne traitez les données que conformément aux instructions documentées du responsable du traitement (art. 28) — toute initiative personnelle en matière de données à caractère personnel n'est pas appréciée
- Tenez votre propre registre des activités de traitement (art. 30, paragraphe 2)
- Mettre en œuvre des mesures de sécurité appropriées (art. 32)
- Informez le responsable du traitement sans retard injustifié si vous constatez une violation (art. 33, paragraphe 2) — « J'étais en vacances » ne constitue pas un retard injustifié
- Assister le responsable du traitement dans le cadre des analyses d'impact relatives à la protection des données et des demandes des personnes concernées, lorsque cela lui est demandé (art. 28, paragraphe 3)
- Ne faire appel à des sous-traitants qu'avec l'autorisation préalable du responsable du traitement (art. 28, paragraphe 2)
- Supprimer ou restituer toutes les données à caractère personnel à la fin de la relation de traitement (art. 28, paragraphe 3, point g)
Articles phares
Mettez vos accords de traitement des données en ordre avant que votre plus gros client ne vous les demande. Avoir un modèle prêt à l'emploi, c'est pour un sous-traitant l'équivalent de toujours avoir un parapluie sur soi : vous serez content de l'avoir fait.
Délégué à la protection des données (DPD)
Vous êtes l'expert indépendant en protection des données de l'organisation. Vous donnez des conseils, veillez au respect de la réglementation et faites office de point de contact auprès de l'autorité de contrôle. Vous rendez compte directement à la direction générale, et personne ne peut vous dicter vos conclusions. Vous êtes en quelque sorte l'auditeur de la protection des données : vous n'êtes pas vraiment le type le plus apprécié lors des soirées, mais tout le monde vous appelle quand les choses tournent mal.
Vos obligations
- Informer et conseiller le responsable du traitement ou le sous-traitant sur leurs obligations au titre du RGPD (art. 39, paragraphe 1, point a))
- Veiller au respect du RGPD et des politiques internes en matière de protection des données (art. 39, paragraphe 1, point b)
- Fournir des conseils sur les AIPD et en contrôler les résultats (art. 39, paragraphe 1, point c))
- Servir de point de contact pour l'autorité de contrôle (art. 39, par. 1, points d) et e))
- Préservez votre indépendance : vous ne devez recevoir aucune instruction quant à la manière d'accomplir vos tâches (art. 38.3)
- Se tenir informé des dernières évolutions en matière de législation et de pratiques relatives à la protection des données (art. 37.5)
- Se tenir à la disposition des personnes concernées qui souhaitent faire part de leurs préoccupations (art. 38, paragraphe 4)
Articles phares
Consignez vos recommandations par écrit, surtout lorsque la direction décide de ne pas les suivre. Vous vous en féliciterez plus tard, lorsque l'autorité de contrôle viendra frapper à votre porte.
Personne concernée
Vous êtes un être humain bien réel dont les données personnelles font l'objet d'un traitement. C'est tout : aucune certification n'est nécessaire. Si une organisation dispose de votre nom, de votre adresse e-mail, de votre adresse IP ou même de vos préférences en matière de cookies, vous êtes une personne concernée. Ce qui signifie que vous disposez de droits. Et même de nombreux droits, en réalité.
Vos obligations
- Vous avez le droit d'accéder à vos données à caractère personnel et d'en obtenir une copie (art. 15) — demandez-le poliment, mais vous n'êtes pas obligé de le faire
- Vous pouvez demander la rectification de données inexactes (art. 16) — votre nom n'est pas « Cher client »
- Vous pouvez demander la suppression de vos données — ce qu'on appelle communément le « droit à l'oubli » (art. 17)
- Vous pouvez demander la limitation du traitement dans certaines situations (art. 18)
- Vous disposez d'un droit à la portabilité des données : vous pouvez récupérer vos données et les transférer ailleurs (art. 20)
- Vous pouvez vous opposer au traitement de vos données, y compris au profilage et au marketing direct (art. 21) — oui, vous pouvez vous désabonner
- Vous avez le droit de ne pas faire l'objet d'une décision fondée exclusivement sur un traitement automatisé, y compris le profilage (art. 22)
- Vous pouvez déposer une plainte auprès d'une autorité de contrôle si vos droits sont bafoués (art. 77)
Articles phares
Lorsque vous exercez vos droits, précisez clairement ce que vous souhaitez. Une demande écrite claire (un e-mail suffit) permet d'obtenir des résultats plus rapidement qu'une demande vague du type « Je veux toutes mes données ». Astuce de pro : mentionnez le RGPD dans l'objet de votre message — cela permet généralement d'accélérer le processus.
Comment Euregas peut vous aider
Outils disponibles
- Registre des activités de traitement (RoPA) — consignez chaque activité de traitement à l'aide de modèles intégrés
- AEP avec matrice des risques — évaluation et notation des risques selon 7 dimensions
- Gestion des incidents — Suivi des violations grâce à des rappels automatisés avec un délai de 72 heures
- Droits des personnes concernées — gestion de bout en bout des demandes d'accès, d'effacement et de portabilité
- Gestion des consentements — suivi de la collecte et du retrait des consentements, ainsi que des pistes d'audit
- Cartographie des données — visualiser les flux de données entre les systèmes et les tiers
- Accords relatifs au traitement des données — gestion des relations avec les sous-traitants et les sous-traitants secondaires
- Évaluation de la base juridique — document et examen de la base juridique pour chaque activité de traitement
- Évaluation de l'impact des transferts (TIA) — évaluer les transferts internationaux de données
Fonctionnalités assistées par l'IA
- Assistant de consultation (gdpr_readiness) — Évaluation guidée en 5 étapes avec analyse par IA à chaque étape et références d'articles
- Verdict de conformité généré par l'IA : conforme / conforme sous réserve / non conforme
- Recherche sémantique dans les articles du RGPD, les lignes directrices du CEPD et la jurisprudence
Tous les outils liés au RGPD (RoPA, AIPD, gestion des incidents, etc.) sont des processus manuels s'appuyant sur des modèles structurés. L'assistance par IA est disponible via l'assistant de consultation ; elle n'est pas directement intégrée aux outils individuels.
Tous les exemples sont fictifs et ne servent qu'à des fins d'illustration.