Le RGPD et son applicabilité dans les États membres de l’Union Européenne

Données personnelles 2707 Vues

Vous avez sûrement entendu parler du Règlement Général sur la Protection des Données, dit RGPD. Entré en vigueur en 2018, il a révolutionné le traitement des données personnelles au niveau européen. Comment s’applique-t-il ? Quelle est sa portée ? Nous y répondons dans cet article.
Le RGPD et son applicabilité dans les États membres de l’Union Européenne

Le Règlement Général sur la Protection des Données

Le Règlement Général sur la Protection des Données (RGPD) est entré en vigueur le 25 mai 2018 dans tous les États membres de l’Union Européenne (UE). En remplaçant la directive 95/46/CE du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, le RGPD est devenu le nouveau texte de référence de l’Union.

Ce texte réglementaire européen encadre le traitement des données personnelles sur le territoire de l’UE en imposant des exigences à tout organisme public ou privé concernant la collecte, la conservation et la gestion de ces données.

Il vise à garantir les libertés fondamentales reconnues par la Charte des droits fondamentaux de l’Union européenne comme le disposent l’article 8 relatif à la protection des données à caractère personnel et l’article 7 pour le respect de la vie privée et familiale.

Le RGPD s’ancre dans la continuité de la loi française Informatique et Libertés de 1978 relative à la collecte et l’utilisation des données sur le territoire français.

Trois objectifs ont été fixés au sein du règlement :

  1. Renforcer les droits des personnes.
  2. Responsabiliser les différents acteurs traitant les données.
  3. Crédibiliser la régulation en renforçant la coopération entre les différents autorités de protection des données.

Le régime mis en place est inédit. C’est la première fois que des dispositions dans ce domaine sont aussi exigeantes et les sanctions aussi sévères.

Le RGPD a permis d’atténuer la fragmentation entre les différents États en harmonisant le panorama juridique à l’échelle de l’Union et en offrant un cadre unique à l’ensemble des professionnels.

À l’ère du numérique, l’ordre juridique n’a eu d’autre choix que de s’adapter afin de suivre les différentes évolutions de notre société et des technologies. La montée en puissance du commerce en ligne et l'explosion du numérique n’ont fait que confirmer la vétusté de la législation européenne. 

Les notions de données à caractère personnel et de traitement de données personnelles

Il est essentiel de revenir sur la notion de “donnée à caractère personnel”. La Commission nationale de l'informatique et des libertés (CNIL) la définit comme  :

Toute information se rapportant à une personne physique identifiée ou identifiable.

Elle doit être comprise de façon large.

La Commission précise qu’une personne peut être identifiée directement, par exemple grâce à son nom et son prénom, ou bien indirectement via un identifiant, un numéro de téléphone, son adresse IP, etc. Cette identification peut se faire à partir d’une seule donnée ou bien à partir du croisement de plusieurs données.

Mais alors, qu’est-ce qu’un traitement de données personnelles ? Tout comme la notion de donnée personnelle, celui-ci doit être compris largement. Il s'agit d'une ou plusieurs opérations concernant des données personnelles. Le procédé utilisé peut différer d’une opération à une autre : modification d’un fichier de fournisseurs, collecte de coordonnées via un questionnaire, tenue d’un fichier client, etc. Notez que celui-ci n’est pas forcément informatisé, les dossiers papiers sont également concernés.

L’entreprise ou l’organisation à l’origine du traitement de données est tenue de respecter plusieurs règles. En voici quelques unes :

  • Le traitement des donnĂ©es doit se faire de manière licite et transparente, en toute loyautĂ© ;
  • Il doit toujours ĂŞtre rĂ©alisĂ© dans un but dĂ©terminĂ©. La finalitĂ© doit ĂŞtre indiquĂ©e aux personnes concernĂ©es lors de la collecte ;
  • Les donnĂ©es collectĂ©es doivent ĂŞtre nĂ©cessaires afin d’atteindre ces finalitĂ©s ;
  • L'entreprise / organisation doit s'assurer que ces donnĂ©es ne sont pas conservĂ©es plus longtemps que nĂ©cessaire et elle doit mettre en place les mesures nĂ©cessaires pour garantir leur sĂ©curitĂ© et leur protection.

Par exemple, lorsqu’une entreprise édite une facture et effectue une livraison dans le cadre de son activité, elle est forcément amenée à collecter diverses informations sur son client. L’objectif ? Gérer sa clientèle. En l’espèce, la finalité est claire.

Lors de leur traitement, les données personnelles transitent généralement par différentes entités parmi lesquelles on peut identifier : le responsable du traitement, c’est celui qui va mettre en place les détails du traitement des données et le sous-traitant qui va détenir et traiter les données pour le compte du responsable.

Attention, le traitement de certaines catégories de données à caractère personnel est, dans tous les cas, interdit. Il s’agit de :

  • l’origine raciale ou ethnique ;
  • l’orientation sexuelle ;
  • les opinions politiques ;
  • les convictions religieuses ou philosophiques ;
  • l’affiliation Ă  des organisations syndicales ;
  • les informations gĂ©nĂ©tiques, biomĂ©triques ou en matière de santĂ©, sauf exception ;
  • les condamnations pĂ©nales ou des infractions, sauf autorisation.

Il existe néanmoins des exceptions à cet interdit posé par le RGPD.

Bon Ă  savoir :

Un dossier comprenant uniquement les coordonnées d’une société ne consitue pas un traitement de données personnelles. En effet, les règles du RGPD s’appliquent seulement aux données à caractère personnel relatives aux personnes et non à celles relatives aux entreprises ou à toute autre entité juridique.

Toutefois, certaines informations concernant des entreprises unipersonnelles peuvent être considérées comme personnelles si elles permettent d’identifier une personne physique. Il en est de même pour les données à caractère personnel concernant des personnes physiques dans le cadre d’une activité professionnelle.

L’application du RGPD en Europe et dans les États membres

Le RGPD concerne toutes les organisations traitant des données, dès lors :

  • qu’elles sont Ă©tablies dans un des États membres de l’Union europĂ©enne, peu importe le lieu oĂą se dĂ©roule le traitement des donnĂ©es ;
  • que leur activitĂ© cible des rĂ©sidents europĂ©ens, dans le cadre de la fourniture de biens ou de services, qu’ils soient payants ou gratuits, ou de la surveillance de leur comportement.

Prenons le cas d’une société établie en Tunisie qui dispose d’un site de e-commerce en français et qui livre des produits dans l’Hexagone. Son activité ciblant des résidents européens, elle est donc tenue de respecter le RGPD. C’est également le cas pour une société établie en Italie qui exporte tous ses produits en Chine.

En revanche, si l’entreprise en question est établie en dehors de l’UE et fournit des services également en dehors de l’Union, alors elle n’est pas soumise aux règles du RGPD.

Le RGPD va également concerner les sous-traitants qui sont amenés à traiter des données personnelles pour le compte d’autres entités.

Bon Ă  savoir :

Dans différentes situations, le RGPD ne s'applique pas. C’est le cas lorsque la personne concernée est une personne morale, qu’elle est décédée ou bien que le traitement de données est réalisé par une personne à des fins n'entrant pas dans le cadre de son activité commerciale ou professionnelle

Que se passe-t-il en cas de violation du RGPD ? 

Différentes options sont proposées aux autorités de protection des données par le RGPD pour sanctionner les organismes en cas de non-respect de ce règlement.

En cas de possible violation, un avertissement peut être donné à l’entité qui en est à l’origine. En revanche, en cas de violation avérée, les sanctions mises en place sont lourdes et dépendent de la situation : un rappel à l’ordre, une interdiction temporaire ou définitive du traitement de données à caractère personnel et une amende pouvant grimper jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial total de l’entreprise. Les sanctions imposées sont effectives, proportionnées et dissuasives.

Prenons l’exemple d’une entreprise qui vend des produits en ligne via son site internet. Lors d’un achat, elle demande systématiquement à ses clients leurs informations bancaires. Dans le cas où son site serait victime d’une attaque informatique et que les informations personnelles des clients soient divulguées au pirate, l’absence de mesures adaptées afin de garantir leur protection peut être pointée du doigt.

Pour décider des sanctions qui vont être mises en place, l’autorité de contrôle va examiner différents facteurs comme le nombre de données concernées, la durée de cette attaque ou encore le type de données affectées.

Le RGPD dans l’Union Européenne par rapport au système mondial 

Certains pays n’ayant pas la même vision des choses en matière de protection des données, le RGPD a fait l’objet de vives critiques à travers le monde entier. Malgré cela, il semble que ce texte ait propulsé l’UE au rang de référente à l’échelle mondiale.

En effet, des pays s’en sont fortement inspirés. On peut prendre l’exemple du Brésil, qui, du fait des relations étroites qu’il entretient avec l’Europe a adopté sa propre version du RGPD la “lei geral de proteção de dados”, quelques semaines après l’entrée en vigueur du règlement. Le Japon a quant à lui adopté une réforme contenant des garanties supplémentaires lors du transfert de données européennes. Le pays a même signé une décision d'adéquation avec la Commission européenne le 24 janvier 2019. Avec cela, les parties ont reconnu comme adéquats leurs systèmes de protection des données.

Au niveau européen, le RGPD montre tout de même quelques signes de faiblesse comme l’indique une étude menée par l’ONG irlandaise “l’Irish Council for Civil Liberties”. Conclusion de ce rapport : l’Irlande est à la traîne et peine à appliquer ce règlement. Seulement 2 % des dossiers qui lui sont soumis ont été résolus. Rappelons que l’Irlande abrite les sièges européens de différentes multinationales comme Facebook, Google, Apple ou encore Microsoft.

Image de AnaĂŻs ROBIN

Juriste, titulaire d'un Master 2 Droit de la coopération économique et des affaires internationales à l'université de Hanoï, Vietnam et d'un Master 1 Droit privé international et comparé à l'université de Turin, Italie.

Obtenez un devis en 24 heures par nos avocats
Prestation demandée :
Pays ou organisation :
Type de contrat :
Votre besoin :
Votre besoin :
Votre besoin :
Vos informations :

* : champs obligatoires

Lectures en lien
un batiment Ă  l'architecture moderne
Donnees personnelles 12189 Vues

La revente (cession) de fichiers clients est soumise à une législation stricte, son non-respect est sanctionné par une peine pouvant aller jusqu'à 5 ans de prison et 300 000 euros d'amende. Découvrez quelles sont les modalités et conditions de revente d'un fichier de clients via internet.

poteau sur lequel il est Ă©crit "big data is watching you"
Donnees personnelles 2888 Vues

Depuis son entrée le vigueur le 25 mai 2018, le règlement général sur la protection des données, autrement appelé RGPD, a considérablement changé la façon dont les administrateurs de sites internet traitent les données collectées auprès de leurs clients.

application google sur smartphone
Donnees personnelles 3572 Vues

La publicité sur internet permet de présenter des produits à des consommateurs intéressés, elle est en cela plus efficace que la publicité traditionnelle. Toutefois, Google Ads se montre vigilant et les annonceurs doivent donc veiller au respect des règles de confidentialité.

un batiment Ă  l'architecture moderne
Donnees personnelles 6912 Vues

Que désigne l'expression "données sensibles" ? Quelles sont les conditions de stockage et d’hébergement des données médicales, données dites sensibles ? Quels sont les hébergeurs agréés ?

un graphique sur un Ă©cran d'ordinateur
Donnees personnelles 3731 Vues

Quelles sont les obligations d'un éditeur, ou hébergeur, d'un site internet concernant la conservation des données personnelles de leurs utilisateurs et visiteurs ? Apport du décret du décret n° 2011-219 du 25 février 2011.

un Ă©cran d'ordinateur montrant le site Facebook
Donnees personnelles 5558 Vues

Le Règlement Général sur la Protection des Données, dit RGPD, a été voté en 2016 et est entré en vigueur le 25 mai 2018. De ce règlement découle un certain nombre d'obligations qui pèsent sur le responsable de traitement, notamment la tenue d'un registre des activités de traitement de données à caractère personnel.

un graphique sur un Ă©cran d'ordinateur
Donnees personnelles 4041 Vues

Le délégué à la protection des données, "Data Protection Officer" (DPO) en anglais, a été instauré par le RGPD, entré en vigueur le 25 mai 2018. Le DPO jouit d'une grande indépendance dans l'exercice de ses fonctions et doit veiller au bon respect du RGPD dans l'entreprise.

une personne tapant au clavier de son pc portable
Donnees personnelles 27898 Vues

L’identification d’une personne sur un site internet à partir de son adresse IP fait partie des problématiques relatives aux droits des internautes, que la loi puis les tribunaux encadrent et contrôlent. Plus précisément, est concernée l’épineuse question de la collecte et du traitement des données à caractère personnel.

une personne consultant des statistiques
Donnees personnelles 3779 Vues

Qu'est-ce que le RGPD ? Comment se mettre en conformité ? Quelles nouvelles obligations découlent du RGPD pour les sites internet ? Le RGPD, entré en vigueur le 25 mai 2018, consacre de nouveaux droits protecteurs au profit des internautes et impose de nouvelles obligations aux responsables de traitement.

des rangées de caméras accrochées à un mur
Donnees personnelles 6243 Vues

Depuis l'entrée en vigueur du RGPD, le 25 mai 2018, les déclarations auprès de la CNIL n'existent plus. La responsabilité du responsable de traitement s'en trouvant accrue, il est indispensable pour les organismes de se munir d'une politique de confidentialité.

photo en noir et blanc de quelqu'un tapant au clavier de son MacBook
Donnees personnelles 7988 Vues

La question de la conservation et de la suppression des données personnelles est épineuse. En effet, une durée de conservation doit obligatoirement être établie. Combien de temps peuvent-elles être conservées ? Peut-on demander leur suppression ? Quelles sont les sanctions en cas de non-respect de ce principe ?

une personne utilisant Google Analytics sur son ordinateur portable
Donnees personnelles 3546 Vues

Depuis l'entrée en vigueur du RGPD, le traitement de données à caractère personnel est conditionné à la mise en place de mesures de sécurité afin de les protéger. L’établissement d’une cartographie des données à caractère personnel apparaît comme la solution pour faciliter leur gestion et garantir leur protection.

des personnes vues d'en haut en train de marcher sur un passage piéton
Donnees personnelles 8464 Vues

L’entrée en vigueur du Règlement général sur la protection des données et les réglementations existantes en la matière ont soulevé de nombreuses questions quant au traitement des données personnelles. Il existe aujourd’hui différentes méthodes pour les protéger, notamment celle de l’anonymisation des données.

photo prise du ciel d'un continent pendant la nuit
Donnees personnelles 2633 Vues

Depuis l’entrée en vigueur du Règlement Général sur la Protection des Données, dit RGPD, de nombreuses structures s’inquiètent de ne pas répondre à ses exigences. L’audit de conformité au RGPD apparaît être l’outil idéal pour être sûr de s’y conformer. Pourquoi faire un tel audit ? Quelles sont les principales étapes ?

une personne utilisant un ordinateur portable
Donnees personnelles 2241 Vues

Depuis l’entrée en vigueur en 2018 du Règlement général sur la protection des données, communément appelé RGPD, la mise en conformité au règlement est devenue un enjeu majeur pour les organismes concernés. C’est un processus qui passe par plusieurs étapes, que nous vous présentons ci-dessous.