L'essentiel du RGPD : définition, périmètre et grands principes

RGPD résumé

Accepter ou refuser des cookies sur le site que vous êtes en train de visiter, accepter ou refuser que Google accède à votre position lorsque vous cherchez un point relais près de chez vous, lire rapidement que vous avez un droit d’accès, de rectification et de suppression des données vous concernant… Là est votre quotidien depuis plus de cinq ans. Un quotidien découlant en grande partie de l’arrivée d’un Règlement Européen : le Règlement Général sur la Protection des Données, plus communément appelé « RGPD » - ou « GDPR » pour nos amis anglo-saxons.

Qu’est-ce que le « RGPD » ? Quel est son périmètre ? Quels grands principes ressortent de ce texte de 88 pages, 73 Considérants et 99 articles (ça en fait de la lecture !) ? Découvrez une synthèse dans cet article l'essentiel du RGPD et pour aller plus loin, découvrez les objectifs du rgpd.

Origines du RGPD et sanctions pour non conformité

Avant toute chose, il faut savoir que le RGPD est un Règlement Européen – c’est d’ailleurs pour cela qu’il convient d’utiliser l’article défini « le » et non pas « la ». Un Règlement est un acte juridique européen qui a une portée générale et obligatoire. Concrètement, il a été créé par les institutions européennes et s’applique dans tous les Etat-membres de l’Union Européenne, et ce, dès sa signature - sauf dispositions contraires prévues par le texte, et le RGPD en prévoit quelques-unes.

Ce texte, très inspiré de la loi française « Informatique et libertés » de 1978, permet l’encadrement et la protection des données des citoyens européens et souhaite renforcer le contrôle que ces derniers ont sur l’utilisation de leurs données, tout en protégeant leur vie privée. Depuis le 25 mai 2018 (date de son entrée en vigueur) chaque organisme concerné par le RGPD doit se conformer lui-même au RGPD et devra en apporter la preuve. 

Du fait de son caractère contraignant, le RGPD prévoit plusieurs sanctions en cas de manquements des organismes traitant des données personnelles : rappel à l’ordre ; injonction de se mettre en conformité, accompagné généralement d’une astreinte par jour de retard ; amende administrative - certaines pouvant aller jusqu’à 4% du chiffre d’affaire mondial ou 20 millions d’euros (le plus gros montant étant retenu) ; etc. Pour aller plus loin, découvrez notre article : 6 sanctions RGPD incontournables mais peu connues des TPE/PME et Associations

En France, ces sanctions sont prononcées par l’autorité de contrôle française : la Commission Nationale de l’Informatique et des Libertés (ci-après « CNIL »). 

RGPD : à qui s'applique le RGPD ?

Le RGPD s'applique à tout organisme (privé ou public) qui remplit ces deux conditions : 

  1. réaliser un traitement de données à caractère personnel (condition matérielle d'application du RGPD)
  2. être établi dans l’Union Européenne ou cibler une personne qui se situe dans l’Union Européenne (condition territoriale d'application du RGPD)

Qu’est-ce qu’une donnée personnelle ? 

Une donnée personnelle est une information qui permet d’identifier une personne, directement ou indirectement. Si cette notion vous semble encore floue, voici quelques exemples.

Directement : Nom, prénom, Photographie, E-mail nominatif, Numéro de sécurité sociale, etc.

Indirectement : Localisation, Numéro de téléphone, Identifiants, Plaque d’immatriculation, Adresse IP, etc.

Par combinaisons d’informations : Lieu de naissance, Date de naissance, Lieu de résidence, Sexe, Loisirs, Etc.

En se fondant sur deux localisations, comme le trajet récurrent domicile-travail, 50% des gens seraient identifiables.

Qu’est-ce qu’un traitement de données personnelles ? 

Un traitement de données personnelles est une opération informatisée (tableau Excel, applications), ou non (fichier papier organisé), appliquée à des données. A titre d’exemples, un traitement peut être : une collecte, un enregistrement, une modification, une destruction, une consultation, etc.

Être établi au sein de l’Union Européenne

Le RGPD s'applique d’une part, à tout organisme établi sur le territoire de l’Union Européenne qui traite des données à caractère personnel. Exemple : toute structure ayant son siège social, succursale, ou filiale établie en Europe.

Cibler une personne qui se situe dans l’Union Européenne

D’autre part, tout organisme, qui n’est pas établi en Europe, mais qui offre des biens ou des services à des résidents européens, et/ou qui réalise leur profilage, est soumis au RGPD.

En définitive, le service RH d’une entreprise française [condition territoriale] qui collecte [traitement] le numéro de sécurité sociale, le nom, le prénom, l’adresse, les diplômes, etc. [données] d’un salarié, est soumis au RGPD et doit se mettre en conformité avec celui-ci et en apporter la preuve (cf.. le principe d’accountability vu après).

Les principes fondamentaux du RGPD

  1. la licéité du traitement
  2. la finalité du traitement
  3. la minimisation des données
  4. la conservation des données
  5. la transparence du traitement
  6. l’obligation de sécurité des données
  7. le principe d’accountability

Traiter des données personnelles n’est pas interdit. Il suffit simplement que le responsable du traitement respecte les principes fondamentaux établis par le RGPD.

Attention toutefois, le traitement de données dites « sensibles » est par principe interdit car elles pourraient entraîner des discriminations envers la personne concernée. Ainsi il est formellement interdit de traiter des données qui révèlent « l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d'identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l'orientation sexuelle d'une personne physique » (article 9 RGPD). 

Néanmoins, la suite de cet article prévoit des exceptions à ce principe, qui permettent de collecter des données “sensibles” – mais il serait fastidieux de toutes les citer ici. A titre d'exemple, le traitement de données de santé d’un salarié est nécessaire aux fins de la médecine du travail, et est donc autorisé. Si vous êtes une association ou un établissement public traitant des données de santé ou des données relatives aux personnes vulnérables, cet article pourrait vous intéresser : Introduction au RGPD dans le secteur social et médico-social.

Le principe de licéité du traitement

Le traitement sera licite, et donc autorisé, s’il remplit l’une de ces conditions suivantes :

  1. Que le traitement soit nécessaire à l’exécution d’un contrat
  2. Que le traitement soit nécessaire au respect d’une obligation légale
  3. Que le traitement soit nécessaire à la sauvegarde des intérêts vitaux de la personne concernée
  4. Que le traitement soit nécessaire à l’exécution d’une mission d’intérêt public
  5. Que le traitement soit nécessaire à l’intérêt légitime de son responsable (exemple : assurer la sécurité des biens/personnes au sein de son établissement au moyen de vidéosurveillance, protection des systèmes d’information, etc.)
  6. Que la personne concernée ait consenti pour une finalité précise

Pour être licite, le consentement devra être : 

  1. Libre : ni contraint, ni influencé
  2. Spécifique : pour chaque finalité, il faut consentir
  3. Éclairé : la personne concernée doit avoir connaissance de toutes les informations sur le traitement avant de donner son accord, présentées dans un langage claire, compréhensible, et accessible à tous
  4. Univoque : consentement doit être recueilli par un acte positif claire (déclaration) sans aucune ambiguïté

La finalité du traitement

Ce principe signifie simplement que les données doivent être collectées pour des objectifs précis et légitimes, et ne doivent pas être traitées ultérieurement pour un autre objectif. Il peut donc exister plusieurs finalités pour un même traitement.

Mise en situation : vous aurez besoin des données concernant les candidats afin de gérer les procédures de recrutement et de répondre aux candidats par exemple.

La minimisation des données

C’est un principe qui va de pair avec la/les finalité(s) que l’on a déterminé(es). En effet, le principe de minimisation exige de ne collecter que les données dont l’organisme a strictement besoin pour atteindre la finalité du traitement. C’est un principe qui va permettre de réduire les risques en limitant la collecte de certaines données. 

Mise en situation : collecter le statut marital du candidat n’apparaît pas nécessaire pour effectuer le recrutement.

La conservation des données

Les données personnelles pourront être conservées jusqu’à ce que l’objectif fixé soit atteint. Ainsi, une fois que l’objectif sera satisfait, les données devront être effacées, anonymisées ou le cas échéant, transférées aux archives publiques. Néanmoins, certaines durées de conservation sont prévues par les textes (Code du travail, Code civil, Code de commerce, etc.).

Mise en situation : d’une part, pour les candidatures retenues, il conviendra de conserver leurs données tout le long de la relation contractuelle + 5 ans à compter de sa rupture en vertu du code du travail. D’autre part, pour les candidatures non retenues, vous devrez informer le candidat que vous souhaitez conserver son dossier afin de lui laisser le temps d’en demander la destruction, mais s’il n’en fait pas la demande, celles-ci devront être conservées 2 ans à compter du dernier contact (durée recommandée et appliquée par la CNIL).

Pour aller plus loin :

- Un salarié demande ses fiches de paie 5 ans après son départ, que dois-je faire ?

- Dois-je supprimer systématiquement le dossier d'un usager après son départ ?

La transparence du traitement

Comme son nom l’indique, tout traitement doit être transparent aux yeux de la personne concernée qui doit être informée de tout traitement la concernant. Ainsi, cette dernière doit connaître la raison de la collecte de ses données, comprendre le traitement qui est mis en place et rester maître de ses données en voyant l’exercice de ses droits facilité.

Mise en situation : en envoyant sa candidature, le candidat envoie lui-même ses données et il en a conscience. Néanmoins, et ce afin d’être sûr que vous respectez ce principe, vous pouvez mentionner dans le mail accusant réception de la candidature a minima votre identité, les finalités de ce traitement et les droits dont le candidat dispose. Vous pouvez également le lui rappeler lors de votre entretien téléphonique, entretien d’embauche, contrat de travail si celui-ci est retenu, etc. Pour aller plus loin : Top 7 des erreurs RH sur le RGPD

L’obligation de sécurité des données

Des mesures de sécurité, aussi bien techniques que organisationnelles, doivent être prises pour prévenir les risques liés aux données (perte d’intégrité, confidentialité). 

Pour aller plus loin, découvrez notre article sur 3 pratiques simples pour améliorer la sécurité des données personnelles.

Le principe d’accountability

Ce principe nécessite de rendre compte de sa conformité. Il sera ainsi nécessaire de prouver, aux moyens de preuves réelles, que l’on a mis en place des mesures techniques et organisationnelles appropriées respectant le RGPD – par exemple, un registre des activités de traitement, un registre des incidents, des contrats avec les sous-traitants, les analyses d’impact effectuées, la charte informatique, etc. 

Si les plus grands principes ont été évoqués dans cet article, celui-ci n’a fait que vous introduire au RGPD qui regorge d’autres principes, notions et exceptions. Cet article pourrait notamment vous intéresser : L'obligation de nommer un DPO interne ou externe