Cyber Sécurité

Qu’est-ce que le Règlement Général sur la Protection des Données (RGPD) ?

Christophe

Qu’est-ce que le Règlement Général sur la Protection des Données (RGPD) ?

Le Règlement général sur la protection des données (RGPD) est une législation qui a mis à jour et unifié les lois sur la confidentialité des données dans l’Union européenne (UE). Le RGPD a été approuvé par le Parlement européen le 14 avril 2016 et est entré en vigueur le 25 mai 2018.

Elle remplace la directive européenne sur la protection des données de 1995. La nouvelle directive vise à assurer une plus grande transparence aux entreprises et à étendre les droits à la vie privée des personnes concernées. Lorsqu’une organisation détecte une violation grave de données, le RGPD l’oblige à en informer toutes les personnes concernées ainsi que l’autorité de contrôle dans un délai de 72 heures. Les obligations du RGPD s’appliquent à toutes les données produites par les citoyens de l’UE, que l’entreprise collectant les données en question soit située ou non dans l’UE, ainsi qu’à toutes les personnes dont les données sont stockées au sein de l’UE, qu’elles soient ou non des citoyens de l’UE. . Le RGPD définit également des sanctions en cas de non-conformité.

Quel est l’objectif du RGPD ?

L’objectif du RGPD est de protéger les individus et les données qui les décrivent et de garantir que les organisations qui collectent ces données le font de manière responsable. Le RGPD exige également que les données personnelles soient conservées en toute sécurité ; Le règlement stipule en partie que les données personnelles doivent être protégées contre « tout traitement non autorisé ou illégal, ainsi que contre la perte, la destruction ou les dommages accidentels ».

Les raisons de la collecte de données personnelles sont également définies dans le RGPD ; les données collectées doivent être destinées à un objectif spécifique et légitime et ne doivent pas être utilisées au-delà de cette intention. Le règlement suggère également des limites à la quantité de données collectées, affirmant que la collecte de données devrait être « limitée à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées ». Le RGPD stipule en outre que l’organisation qui collecte les données doit s’assurer qu’elles sont exactes et mises à jour si nécessaire.

En vertu du RGPD, les entreprises ne peuvent légalement traiter les informations personnelles identifiables (PII) d’une personne sans remplir au moins l’une des six conditions suivantes :

  1. Consentement exprès de la personne concernée.
  2. Le traitement est nécessaire à l’exécution d’un contrat avec la personne concernée ou à la conclusion d’un contrat.
  3. Le traitement est nécessaire au respect d’une obligation légale.
  4. Le traitement est nécessaire pour protéger les intérêts vitaux d’une personne concernée ou d’une autre personne.
  5. Le traitement est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement.
  6. Le traitement est nécessaire aux intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, sauf lorsque ces intérêts sont prévalus par les intérêts, droits ou libertés de la personne concernée.

En outre, les entreprises qui effectuent des traitements de données ou surveillent les personnes concernées à grande échelle doivent désigner un délégué à la protection des données (DPD). Le DPO est la figure de proue responsable de la gouvernance des données et de la conformité de l’entreprise au RGPD. Si une entreprise ne respecte pas le RGPD, les conséquences juridiques peuvent inclure des amendes allant jusqu’à 20 millions d’euros (21,77 millions de dollars) ou 4 % du chiffre d’affaires mondial annuel. En outre, la personne occupant ce rôle est responsable de veiller à ce que les principes appropriés de protection des données soient appliqués à la conservation des données personnelles.

Histoire du RGPD

Les racines du RGPD de l’UE remontent à la Convention européenne des droits de l’homme de 1950, qui définit les droits humains fondamentaux que les États membres doivent respecter.

À mesure que les ordinateurs sont devenus omniprésents dans les sphères commerciales et gouvernementales, des réglementations supplémentaires ont été mises en place, comme la Convention sur la protection des données de 1981, qui a déclaré que la vie privée était un droit légal.

La directive européenne sur la protection des données, promulguée en 1995, est la plus étroitement liée au RGPD et est considérée comme le précurseur de ce règlement.

Quelles données le RGPD protège-t-il ?

Les utilisateurs doivent donner leur consentement à toute entreprise ou organisation qui souhaite collecter et utiliser des données personnelles. Telles que définies par le RGPD, les données personnelles sont des informations relatives à « une personne physique identifiée ou identifiable » – appelée personne concernée.

Les données personnelles comprennent les types d’informations suivants :

  • Nom.
  • Numéro d’identification.
  • Données de localisation.
  • Toute information spécifique à « l’identité physique, physiologique, génétique, mentale, économique, culturelle ou sociale de cette personne physique ».
  • Données biométriques acquises via une certaine forme de processus technique, tel que l’imagerie faciale ou la prise d’empreintes digitales.
  • Informations liées à la santé ou aux soins de santé d’une personne.
  • Informations raciales ou ethniques d’un individu.
  • Opinions politiques ou croyances religieuses.
  • Adhésion syndicale.
Le RGPD définit différents types de données pouvant être utilisées pour identifier directement ou indirectement une personne.

Quels sont les 7 principes du RGPD ?

Le RGPD énonce les sept principes de base suivants sur lesquels il fonde ses réglementations et règles de conformité liées aux données personnelles :

  1. Légalité, équité et transparence. La personne concernée doit être clairement informée de la manière dont ses données seront utilisées.
  2. Limitation du but. Les données ne peuvent être collectées qu’à des fins spécifiques.
  3. Minimisation des données. La quantité de données collectées est limitée à ce qui est nécessaire à un traitement spécifique.
  4. Précision. Les organisations collectant des données doivent garantir leur exactitude et les mettre à jour si nécessaire. Les données doivent être supprimées ou modifiées lorsqu’une personne concernée en fait la demande.
  5. Limitation du stockage. Les données collectées ne seront pas conservées plus longtemps que nécessaire.
  6. Intégrité et confidentialité. Des mesures de protection appropriées doivent être appliquées aux données personnelles pour garantir qu’elles sont sécurisées et protégées contre le vol ou l’utilisation non autorisée.
  7. Responsabilité. Les collecteurs de données sont chargés de garantir le respect du RGPD.

Les sept principes du RGPD sous-tendent les droits spécifiques des personnes concernées, notamment les suivants :

  • Droit à l’oubli. Les personnes concernées peuvent demander que les informations personnelles soient effacées du stockage d’une entreprise. L’entreprise a le droit de refuser les demandes si elle peut démontrer avec succès une base légale pour son refus.
  • Droit d’accès. Les personnes concernées peuvent consulter les données qu’une organisation a stockées à leur sujet.
  • Droit d’opposition. Les personnes concernées peuvent refuser l’autorisation à une entreprise d’utiliser ou de traiter leurs données personnelles. L’entreprise peut ignorer le refus si elle remplit l’une des conditions légales relatives au traitement des données personnelles de la personne concernée, mais doit en informer la personne concernée et lui expliquer les raisons qui la motivent.
  • Droit de rectification. Les personnes concernées peuvent s’attendre à ce que les informations personnelles inexactes soient corrigées.
  • Droit à la portabilité. Les personnes concernées peuvent accéder aux données personnelles qu’une entreprise possède à leur sujet et les transférer.

Qui est soumis à la conformité RGPD ?

Toutes les organisations qui collectent des données personnelles sur tout citoyen d’un État membre de l’UE doivent se conformer au RGPD. Cela inclut les organisations résidant en dehors de l’UE : elles doivent toujours se conformer au RGPD si elles collectent les données personnelles des citoyens d’un État membre.

La réglementation s’applique quelle que soit la méthode utilisée pour collecter les données personnelles ; cela inclut les données collectées par des méthodes autres que les sites Web et autres outils Internet. Le RGPD définit les trois rôles liés aux données personnelles comme suit :

  1. Personne concernée. Propriétaire des données personnelles.
  2. Responsable du traitement des données. L’individu ou l’organisation déterminant quelles données personnelles collecter et comment elles seront utilisées.
  3. Sous-traitants. La personne ou l’organisation traitant des données personnelles pour le responsable du traitement.

Notifications de violation

En cas de faille de sécurité affectant les données personnelles stockées, le responsable du traitement doit en informer l’autorité de contrôle dans les 72 heures suivant la violation. L’autorité de contrôle est définie comme l’autorité publique désignée par le pays membre de l’UE pour superviser la conformité au RGPD.

Les exigences supplémentaires relatives aux notifications de violation sont les suivantes :

  • Si la notification n’est pas effectuée dans le délai imparti de 72 heures, le responsable du traitement doit fournir la raison du retard.
  • Les notifications de violation doivent inclure, au minimum, la nature de la violation, le nombre et les types de données personnelles des personnes concernées qui pourraient être compromises et le nombre d’enregistrements de données qui pourraient être impliqués.
  • L’organisation chargée du contrôle des données doit également décrire toutes les conséquences possibles résultant de la violation et décrire les mesures qui seront prises pour atténuer les effets.
  • La notification de la violation de données doit être envoyée directement aux victimes, et non sous la forme d’une annonce générale.
  • Le responsable du traitement doit documenter la violation et les remèdes qu’il a appliqués, ainsi que fournir la documentation à l’autorité de contrôle pour vérification.

Amendes et pénalités en cas de non-conformité

Les sanctions en cas de non-conformité ou de violation de données peuvent être sévères. Plusieurs critères sont évalués pour déterminer les sanctions appropriées, notamment la gravité de la violation, la durée de la violation, le nombre de personnes concernées par la violation et le degré de dommage causé par la violation.

D’autres facteurs susceptibles d’influencer les sanctions sont les suivants :

  • Si une violation de données a été causée par négligence ou intentionnelle.
  • Défaut de conserver des enregistrements adéquats de la collecte et du traitement des données personnelles ; les amendes peuvent atteindre 10 millions d’euros ou 2 % du chiffre d’affaires annuel.
  • Ne pas se conformer aux ordres prononcés par les autorités de contrôle ; ces amendes peuvent aller jusqu’à 20 millions d’euros ou jusqu’à 4 % du chiffre d’affaires total.

Bien que le RGPD ne soit en vigueur que depuis quelques années, des amendes importantes ont été imposées jusqu’à présent par les autorités de protection des données en Europe, notamment les suivantes :

  • TIC Tac. En septembre 2023, le commissaire irlandais à la protection des données a infligé une amende de 345 millions d’euros au géant des médias sociaux pour violations du RGPD centrées sur sa gestion des comptes d’enfants.
  • Méta. En mai 2023, la Commission irlandaise pour la protection des données a infligé une amende de 1,2 milliard d’euros.
  • Google SARL. En décembre 2021, la Commission française de protection des données a infligé une amende de 90 millions d’euros à Google pour son incapacité à permettre aux utilisateurs de YouTube en France de refuser les cookies aussi facilement qu’ils pourraient les accepter.
  • WhatsApp. En septembre 2021, la Commission irlandaise de protection des données a infligé une amende de 225 millions d’euros à WhatsApp pour violation de la transparence.
  • Amazone. En juillet 2021, la Commission nationale luxembourgeoise pour la protection des données a infligé une amende de 746 millions d’euros.

RGPD et données de tiers

Il existe plusieurs réglementations concernant les données personnelles obtenues auprès de parties autres que les personnes concernées et liées au partage de données personnelles en dehors de l’UE.

  • Un responsable du traitement doit obtenir l’autorisation de transférer des données vers un autre pays ou une autre organisation internationale.
  • Si des données personnelles sont collectées auprès d’autres sources que la personne concernée, le responsable du traitement doit fournir une description des données et de leur origine à la personne concernée.

Certains critiques ont exprimé leurs inquiétudes quant aux effets du retrait du Royaume-Uni de l’UE sur la conformité du pays avec le RGPD. Le Royaume-Uni a mis à jour sa loi sur la protection des données de 1998 avec une nouvelle loi appelée Data Protection Act 2018. La nouvelle loi est étroitement liée aux règles définies dans le RGPD, mais les entreprises britanniques qui font des affaires avec des clients ou d’autres organisations dans les États membres de l’UE sont attendues. pour se conformer au RGPD.

6 étapes pour garantir la conformité au RGPD

Le RGPD décrit les résultats attendus d’une gestion bonne et responsable des données, mais il ne définit aucune mesure technique spécifique que les collecteurs de données doivent utiliser pour atteindre cet objectif.

Certaines bonnes pratiques pour garantir la conformité au RGPD sont les suivantes :

  1. Demandez toujours avant de collecter des données personnelles ; les personnes concernées doivent être des participants consentants.
  2. Ne collectez que ce dont vous avez réellement besoin ; les organisations seront responsables de toutes les données qu’elles collectent, qu’elles les utilisent ou non.
  3. Ne partagez pas de données avec d’autres entités, à moins que les utilisateurs n’aient accepté et que les autorités de contrôle aient approuvé la transaction.
  4. Chiffrez toutes les données personnelles, au repos comme en vol.
  5. Assurez-vous qu’au moins deux copies de sauvegarde à jour et sécurisées de toutes les données personnelles sont conservées dans deux emplacements hors site distincts.
  6. Disposez des outils nécessaires pour modifier ou supprimer facilement des éléments spécifiques de données personnelles et pour vérifier et documenter les actions.

La gestion responsable des données s’étend également à protéger les informations de votre carte de crédit. Découvrez comment les cybercriminels volent les informations de carte de crédit et comment vous protéger contre toute exploitation.

Partager Cet Article
Article Précédent Les 3 meilleures alternatives à iMovie pour Windows
Article Suivant ASML renforce sa capacité de fabrication de puces pour répondre à la demande mondiale
Quitter la version mobile