RGPD : origine et périmètre

Origine et périmètre du RGPD

Suite au webinaire sur le RGPD nous vous proposons une série de quatre articles sur le sujet.

Dans ce premier article, nous allons aborder l’origine et le périmètre du RGPD, le suivant s’intéressera au traitement des données personnelles.

Origine du RGPD

Le RGPD s’inscrit dans la continuité de l’article 8 de la CEDH (Convention européenne des droits de l’homme) sur le droit au respect de la vie privée et familiale ainsi que la loi française Informatique et Libertés de 1978. L’idée est de renforcer les droits des personnes, de responsabiliser les acteurs traitant des données et d’augmenter la coopération entre les autorités de protection des données au niveau européen.

Le RGPD institue les points suivants

  • Chaque pays de l’Union européenne doit avoir une autorité indépendante de contrôle et de conseil (en France, c’est la Cnil). Elles sont regroupées dans le CEPD (Comité européen de la protection des données).
  • Les sanctions administratives vont d’un simple rappel à l’ordre à une astreinte en passant par une amende pouvant aller d’un montant de 4 % du CA (Chiffre d’Affaires) et/ou 20 millions d’euros.
  • Une transmission des infractions constatées peuvent être faite (en France, au procureur de la République).
  • Les citoyens ont un droit de regard sur le traitement de leurs données et la possibilité de faire des actions collectives (équivalent de la « class action » américaine).
  • Il est applicable pour tout résidant (permanent ou temporaire) ou entreprise opérant sur le territoire de l’Union européenne : il peut donc entrer en opposition avec le Cloud Act américain. Attention, si un Européen voyage (ou habite) hors de l’Union européenne et se connecte à un service non-européen, le règlement ne s’applique plus.

Les données concernées sont les suivantes (par ordre d’importance décroissant)

  • Sensibles : race ou ethnie, opinion politique ou syndical, orientation sexuelle, santé, biométrique

  • Assimilées à des données sensibles : infraction ou condamnation

  • Présentant une sensibilité : numéros de compte (bancaires ou non) ou secret industriel

  • Non-sensibles : noms, adresses postales et IP, courriels et téléphones (fixe et mobile)

Si vous suivez ces quatre actions définies par la Cnil vous êtes en bonne voie pour être en conformité avec le RGPD (Retrouvez l’article ici)

  • Constituer un registre du traitement des données

  • Faire le tri de ses données

  • Respecter les droits des personnes

  • Sécuriser les données

Quelques liens pour aller plus loin

Rapide historique

Législatifs

Données personnelles