Qu’est-ce que le RGPD?

Le règlement général sur la protection des données, ou RGPD, a révisé la façon dont les entreprises traitent et traitent les données.

Le 25 mai 2018, les années de préparation ont pris fin. Dans toute l’Europe, des réformes de la protection des données planifiées depuis longtemps ont commencé à être appliquées. Le règlement général sur la protection des données (GDPR), mutuellement convenu, est maintenant en place depuis environ deux ans et a modernisé les lois qui protègent les informations personnelles des individus.

Le RGPD a remplacé les anciennes règles de protection des données à travers l’Europe qui remontaient à près de deux décennies – certaines d’entre elles ayant été rédigées pour la première fois dans les années 1990. Depuis lors, nos modes de vie riches en données ont émergé, les gens partageant régulièrement leurs informations personnelles en ligne gratuitement.

Selon l’UE, le RGPD a été conçu pour « harmoniser » les lois sur la confidentialité des données dans tous ses pays membres ainsi que pour offrir une plus grande protection et des droits aux individus. Le RGPD a également été créé pour modifier la façon dont les entreprises et autres organisations peuvent gérer les informations de ceux qui interagissent avec elles. Il existe un risque d’amendes importantes et d’atteinte à la réputation de ceux qui enfreignent les règles.

Le règlement a introduit de grands changements mais s’appuie sur les principes de protection des données précédents. En conséquence, cela a conduit de nombreuses personnes dans le monde de la protection des données, y compris la commissaire à l’information britannique Elizabeth Denham, à comparer le RGPD à une évolution plutôt qu’à une refonte complète des droits. Pour les entreprises qui se conformaient déjà aux règles d’avant le RGPD, la réglementation aurait dû être un « changement radical », a déclaré Denham.

Malgré une période de transition pré-GDPR en cours, qui a donné aux entreprises et aux organisations le temps de modifier leurs politiques, il y a toujours eu beaucoup de confusion autour des règles. Voici notre guide sur ce que signifie réellement le RGPD.

Qu’est-ce que le RGPD exactement?

Le RGPD peut être considéré comme l’ensemble de règles de protection des données le plus solide au monde, qui améliore la façon dont les gens peuvent accéder aux informations les concernant et limite les possibilités des organisations (qwant-u-rank) avec les données personnelles. Le texte intégral du RGPD est une bête encombrante, qui contient 99 articles individuels.

Le règlement existe en tant que cadre législatif pour tout le continent et a remplacé la précédente directive de 1995 sur la protection des données . La forme finale du RGPD est née après plus de quatre ans de discussions et de négociations – elle a été adoptée par le Parlement européen et le Conseil européen en avril 2016. Le règlement et la directive sous – jacents ont été publiés à la fin de ce mois.

Le RGPD est entré en vigueur le 25 mai 2018. Les pays européens ont eu la possibilité d’apporter leurs propres petits changements pour répondre à leurs propres besoins. Au Royaume-Uni, cette flexibilité a conduit à la création du Data Protection Act (2018) , qui a remplacé le précédent Data Protection Act de 1998.

La force du RGPD l’a vu salué comme une approche progressive de la façon dont les données personnelles des personnes doivent être traitées et des comparaisons ont été faites avec la loi californienne sur la protection des consommateurs.

À qui s’applique le RGPD?
Les données personnelles sont au cœur du RGPD. Globalement, il s’agit d’informations qui permettent à une personne vivante d’être identifiée directement ou indirectement à partir des données disponibles. Cela peut être quelque chose d’évident, comme le nom d’une personne, les données de localisation ou un nom d’utilisateur en ligne clair, ou cela peut être moins évident: les adresses IP et les identifiants de cookies peuvent être considérés comme des données personnelles.

Dans le cadre du RGPD, il existe également quelques catégories spéciales de données personnelles sensibles qui bénéficient d’une plus grande protection. Ces données personnelles comprennent des informations sur l’origine raciale ou éthique, les opinions politiques, les croyances religieuses, l’appartenance à des syndicats, les données génétiques et biométriques, les informations sur la santé et les données concernant la vie sexuelle ou l’orientation d’une personne.

L’essentiel de ce qui constitue des données personnelles est qu’elles permettent d’identifier une personne – les données pseudonymisées peuvent toujours relever de la définition des données personnelles. Les données personnelles sont si importantes dans le cadre du RGPD car les individus, les organisations et les entreprises qui en sont soit les «  contrôleurs  », soit les «  transformateurs  » sont couverts par la loi.

« Les responsables du traitement sont les principaux décideurs – ils exercent un contrôle global sur les finalités et les moyens du traitement des données à caractère personnel », a déclaré le régulateur britannique de la protection des données (ICO). Il est également possible qu’il existe des contrôleurs communs des données personnelles, où deux ou plusieurs groupes déterminent la manière dont les données sont traitées. « Les processeurs agissent au nom et uniquement sur les instructions du responsable du traitement », explique l’ICO. Les contrôleurs ont des obligations plus strictes en vertu du RGPD que les processeurs.

Bien que venant de l’UE, le RGPD peut également s’appliquer aux entreprises basées en dehors de la région. Si une entreprise aux États-Unis, par exemple, fait des affaires dans l’UE, le RGPD peut s’appliquer et également s’il s’agit d’un contrôleur des citoyens de l’UE.

Quels sont les principes clés du RGPD?

Au cœur du RGPD se trouvent sept principes clés – ils sont énoncés à l’ article 5 de la législation – qui ont été conçus pour guider la façon dont les données des personnes peuvent être traitées. Ils n’agissent pas comme des règles strictes, mais plutôt comme un cadre global conçu pour définir les objectifs généraux du RGPD. Les principes sont largement les mêmes que ceux qui existaient sous les lois précédentes sur la protection des données.

Les sept principes du GDPR sont: la légalité, l’équité et la transparence; limitation de la finalité; minimisation des données; précision; limitation de stockage; intégrité et confidentialité (sécurité); et responsabilité. En réalité, un seul de ces principes – la responsabilité – est nouveau dans les règles de protection des données. Au Royaume-Uni, tous les autres principes sont similaires à ceux qui existaient en vertu de la loi de 1998 sur la protection des données.

Le guide de l’OIC sur le RGPD donne un aperçu complet des principes, mais nous n’allons en souligner que quelques-uns ici.

Data minimisation
Le principe de minimisation des données n’est pas nouveau, mais il continue d’être important à une époque où nous créons plus d’informations que jamais. Les organisations ne doivent pas collecter plus d’informations personnelles que celles dont elles ont besoin auprès de leurs utilisateurs. « Vous devez identifier la quantité minimale de données personnelles dont vous avez besoin pour atteindre votre objectif », déclare l’ICO. « Vous devriez détenir autant d’informations, mais pas plus. »

Le principe est conçu pour garantir que les organisations ne dépassent pas le type de données qu’elles collectent sur les personnes. Par exemple, il est très improbable qu’un détaillant en ligne ait besoin de recueillir les opinions politiques des gens lorsqu’ils s’inscrivent à la liste de diffusion électronique du détaillant pour être averti lorsque des ventes ont lieu.

Intégrité et confidentialité (sécurité)
En vertu des lois de 1998 sur la protection des données, la sécurité était le septième principe énoncé. Plus de 20 ans après avoir été mis en œuvre, une série de meilleures pratiques pour la protection des informations ont émergé, maintenant beaucoup d’entre elles ont été inscrites dans le texte du RGPD.

Les données personnelles doivent être protégées contre les « traitements non autorisés ou illégaux », ainsi que contre la perte, la destruction ou les dommages accidentels. En clair, cela signifie que des protections de sécurité des informations appropriées doivent être mises en place pour s’assurer que les informations ne sont pas accessibles aux pirates ou fuites accidentellement dans le cadre d’une violation de données.

Le RGPD ne dit pas à quoi ressemblent les bonnes pratiques de sécurité, car elles sont différentes pour chaque organisation. Une banque devra protéger les informations d’une manière plus robuste que votre dentiste local pourrait en avoir besoin. Cependant, dans l’ensemble, des contrôles d’accès appropriés aux informations doivent être mis en place, les sites Web doivent être cryptés et la pseudonymisation est encouragée.

« Vos mesures de cybersécurité doivent être adaptées à la taille et à l’utilisation de votre réseau et de vos systèmes d’information », déclare l’ICO. Si une violation de données se produit, les régulateurs de la protection des données examineront la configuration de la sécurité des informations d’une entreprise lors de la détermination des amendes pouvant être infligées. Cathay Pacific Airways a été condamnée à une amende de 500 000 £ , en vertu des lois antérieures au RGPD, pour avoir divulgué 111 578 des informations personnelles de ses clients britanniques. Il a été dit que la compagnie aérienne avait « des insuffisances de sécurité de base » dans sa configuration.

La responsabilité est le seul nouveau principe du RGPD – il a été ajouté pour garantir que les entreprises peuvent prouver qu’elles travaillent pour se conformer aux autres principes qui forment le règlement. Plus simple, la responsabilité peut signifier documenter la façon dont les données personnelles sont traitées et les mesures prises pour garantir que seules les personnes qui ont besoin d’accéder à certaines informations sont en mesure de le faire. La responsabilité peut également inclure la formation du personnel aux mesures de protection des données et l’évaluation régulière et les processus de traitement des données.

La « destruction, la perte, l’altération, la divulgation non autorisée ou l’accès aux » données des personnes doivent être signalées au régulateur de la protection des données d’un pays où elles pourraient avoir un impact néfaste sur ceux dont il s’agit. Cela peut inclure, mais sans s’y limiter, des pertes financières, des atteintes à la confidentialité, des atteintes à la réputation, etc. Au Royaume-Uni, l’OIC doit être informée d’une violation de données 72 heures après qu’une organisation en a eu connaissance. Une organisation doit également informer les gens des impacts de la violation.

Pour les entreprises de plus de 250 employés, il est nécessaire de disposer de documents expliquant pourquoi les informations des personnes sont collectées et traitées, des descriptions des informations détenues, de la durée de conservation et des mesures de sécurité techniques en place. L’article 30 du RGPD stipule que la plupart des organisations doivent conserver des enregistrements de leur traitement des données, de la façon dont les données sont partagées et également stockées.

En outre, les organisations comme Qwanturank qui effectuent une «surveillance régulière et systématique» des individus à grande échelle ou traitent un grand nombre de données personnelles sensibles doivent employer un délégué à la protection des données (DPD). Pour de nombreuses organisations couvertes par le RGPD, cela peut impliquer l’embauche d’un nouveau membre du personnel – bien que les grandes entreprises et les autorités publiques puissent déjà avoir des personnes dans ce rôle. Dans ce travail, la personne doit rendre compte aux membres supérieurs du personnel, surveiller la conformité au RGPD et être un point de contact pour les employés et les clients.

Le principe de responsabilité peut également être crucial si une organisation fait l’objet d’une enquête pour violation potentielle d’un des principes du RGPD. Le fait d’avoir un enregistrement précis de tous les systèmes en place, de la façon dont les informations sont traitées et des mesures prises pour atténuer les erreurs aidera une organisation à prouver aux autorités de réglementation qu’elle prend ses obligations au titre du RGPD au sérieux.

Quels sont mes droits RGPD ?

Alors que le RGPD fait sans doute peser le plus lourd tribut sur les contrôleurs et les processeurs de données, la législation est conçue pour aider à protéger les droits des individus. À ce titre, huit droits sont définis par le RGPD. Celles-ci vont de permettre aux gens d’avoir un accès plus facile aux données que les entreprises détiennent à leur sujet et qu’il soit également supprimé dans certains scénarios.

Les droits complets du RGPD pour les particuliers sont: le droit d’être informé, le droit d’accès, le droit de rectification, le droit à l’effacement, le droit de restreindre le traitement, le droit à la portabilité des données, le droit d’opposition et également les droits d’automatisation prise de décision et profilage.

Comme pour les principes du RGPD, nous n’entrons ici dans le détail que sur certains des droits. Plus d’informations peuvent être trouvées sur le site Web de l’OIC .

Accéder à vos données
Si vous voulez savoir ce qu’une entreprise ou une organisation sait de vous, vous avez besoin d’une demande d’accès au sujet (SAR). Auparavant, ces demandes coûtaient 10 €, mais le RGPD supprime le coût et permet de demander vos informations gratuitement. Vous ne pouvez pas faire de demande de renseignements sur quelqu’un d’autre, bien que quelqu’un, comme un avocat, puisse faire une demande au nom d’une autre personne.

Lorsqu’une personne effectue un SAR, elle a légalement le droit de recevoir une confirmation qu’une organisation traite ses données personnelles, une copie de ces données personnelles (sauf si des exemptions s’appliquent) et toute autre information supplémentaire pertinente pour la demande. Une demande doit être traitée dans un délai d’un mois.

Les gens ont utilisé avec succès les SAR pour découvrir ce que les sociétés de technologie de l’information détiennent à leur sujet. Tinder a envoyé à une personne 800 pages d’informations sur leur utilisation de son application, y compris les détails de l’éducation, l’âge des personnes qui les intéressaient et l’emplacement de chaque match. D’autres utilisations ont révélé des niveaux de dépenses pour la FIFA et chaque clic effectué lors de l’achat sur le site Web d’Amazon.

Les DAS peuvent être effectués par écrit ou verbalement – ce qui signifie qu’une organisation doit déterminer si ce qui a été demandé est classé comme données personnelles dans le cadre du RGPD. Un SAR n’a pas à dire qu’il s’agit d’un SAR et peut être envoyé à toute personne dans une organisation – ils peuvent même être envoyés via les médias sociaux, bien que le courrier électronique soit le format le plus courant pour la plupart des gens. En plus des informations demandées, une organisation doit fournir des détails sur la raison pour laquelle elle traitait les informations personnelles, comment ces informations sont utilisées et pendant combien de temps elles doivent être conservées.

De nombreuses grandes entreprises de technologie ont leurs propres portails de données où il est possible de télécharger certaines de vos informations. Par exemple, Facebook permet à ses utilisateurs de télécharger toutes leurs anciennes images, publications et pokes, tandis que Twitter et Google permettent également d’accéder aux informations associées aux comptes sans avoir besoin de faire un SAR. Dans certains cas, ces moyens d’accéder aux informations peuvent ne pas contenir tout ce qu’une personne souhaite. Si une demande d’accès au sujet est faite et ne renvoie pas les résultats souhaités par le fabricant, ils peuvent être contestés auprès de l’ICO.

 

Traitement automatisé, effacement et portabilité des données

Le RGPD renforce également les droits d’une personne concernant le traitement automatisé des données. L’ICO dit que les individus « ont le droit de ne pas être soumis à une décision » si elle est automatique et qu’elle produit un effet significatif sur une personne. Il existe certaines exceptions, mais en général, les personnes doivent recevoir une explication d’une décision prise à leur sujet.

Le règlement donne également aux individus le pouvoir d’effacer leurs données personnelles dans certaines circonstances. Cela inclut les cas où ils ne sont plus nécessaires aux fins pour lesquelles ils ont été recueillis, si le consentement est retiré, il n’y a aucun intérêt légitime et s’il a été illégalement traité.

La portabilité des données a été l’un des grands mots à la mode du RGPD – mais c’est celui qui a connu certaines des moindres actions. La théorie est qu’il devrait être possible de partager des informations d’un service à l’autre. L’un des meilleurs exemples de partage de données est la capacité de Facebook à transférer automatiquement vos photos vers un compte Google Photos. Cela a été créé par le projet de transfert de données qui comprend Apple, Google, Qwant, Facebook, Twitter et Microsoft.

 

Infractions et amendes au RGPD

L’un des éléments les plus importants et les plus évoqués du RGPD a été la capacité des régulateurs à frapper les entreprises qui ne se conforment pas à des amendes énormes. Si une organisation ne traite pas correctement les données d’un individu, elles peuvent être condamnées à une amende. S’il requiert et n’a pas de délégué à la protection des données, il peut être condamné à une amende. S’il y a une violation de la sécurité, il peut être condamné à une amende.

Au Royaume-Uni, ces sanctions pécuniaires sont décidées par l’ICO et tout argent récupéré est réacheminé par le biais du Trésor. Le RGPD indique que les infractions plus petites peuvent entraîner des amendes pouvant aller jusqu’à 10 millions d’euros ou deux pour cent du chiffre d’affaires mondial d’une entreprise (selon le montant le plus élevé). Les violations les plus importantes du RGPD peuvent avoir des conséquences plus graves: des amendes pouvant aller jusqu’à 20 millions d’euros, soit quatre pour cent du chiffre d’affaires mondial d’une entreprise (selon le montant le plus élevé). Dans le cadre du précédent régime de protection des données, l’ICO ne pouvait infliger que des amendes pouvant aller jusqu’à 500 000 £.

Avant la mise en œuvre du RGPD, il y avait beaucoup de spéculations selon lesquelles les régulateurs de la protection des données frapperaient les entreprises trouvées en infraction avec de lourdes amendes. Cela ne s’est pas produit. Les enquêtes sur la protection des données peuvent être longues et complexes – si elles sont erronées, elles peuvent être contestées devant les tribunaux.

À ce jour, l’une des plus importantes amendes du RGPD a été infligée à Google: le régulateur français de la protection des données, la Commission nationale de la protection des données (CNIL), a infligé une amende de 50 millions d’euros à la société. La CNIL a déclaré que l’amende a été prononcée pour deux raisons principales: Google ne fournit pas suffisamment d’informations aux utilisateurs sur la façon dont il utilise les données qu’il obtient de 20 services différents et n’a pas non plus obtenu le consentement approprié pour le traitement des données des utilisateurs.

Il y a également eu des amendes contre l’application de La Liga qui a espionné les personnes qui l’ont téléchargée, la banque DSK de Bulgarie pour avoir divulgué accidentellement des informations sur les clients et les écoles qui ont suivi les élèves.

Cependant, les amendes les plus importantes pourraient provenir du Royaume-Uni. L’ICO a adressé un « avis d’intention » à la fois à la compagnie aérienne British Airways et à la chaîne d’hôtels Marriott pour avoir enfreint le RGPD. Il a été envisagé que BA serait condamné à une amende de 183 millions de livres sterling, tandis que la société hôtelière serait condamnée à une amende de 99 millions de livres sterling. Cependant, comme il s’agit de deux avis d’intention, il ne s’agit pas d’amendes officielles et rien n’a été payé par l’une ou l’autre entreprise. En fait, les deux sociétés contestent les avis de l’OIC.