Dernière vérification : 15/03/2019

Protection des données en vertu du RGPD

Décision du Royaume-Uni d'invoquer l'article 50 du traité sur l'UE: Plus d'information

Le RGPD impose des exigences détaillées aux entreprises et organisations en ce qui concerne la collecte, la conservation et la gestion des données à caractère personnel. Elles s'appliquent tant aux organisations européennes qui traitent des données à caractère personnel de personnes établies dans l'UE qu'aux organisations établies en dehors de l'UE qui ciblent des personnes vivant dans l'UE.

Quand le règlement général sur la protection des données (RGPD) s'applique-t-il?

Le RGPD s'applique à votre entreprise si:

Les entreprises non établies dans l'UE qui traitent les données de citoyens de l'UE doivent désigner un représentant dans l'UE.

Quand le règlement général sur la protection des données (RGPD) ne s'applique-t-il pas?

Le RGPD ne s'applique pas si:

Qu'entend-on par «données à caractère personnel»?

Les données à caractère personnel désignent toute information relative à une personne identifiée ou identifiable (la « personne concernée»). Elles comprennent notamment les informations suivantes:

Catégories de données particulières

Aucune donnée à caractère personnel ne peut être traitée concernant:

Qui traite les données à caractère personnel?

Lors de leur traitement, les données à caractère personnel peuvent transiter par différentes entreprises ou organisations. Parmi celles-ci, on distingue deux profils principaux:

Qui surveille la manière dont les données à caractère personnel sont traitées au sein d'une entreprise?

Le délégué à la protection des données (DPD), qui peut avoir été désigné par l'entreprise, est chargé de surveiller la manière dont les données à caractère personnel sont traitées et d'informer et de conseiller les membres du personnel qui traitent des données à caractère personnel quant à leurs obligations. Le DPD coopère également avec l'autorité chargée de la protection des données (APD), dont il est le point de contact, tout comme celui des particuliers.

Quand devez-vous désigner un délégué à la protection des données?

Votre entreprise est tenue de désigner un délégué à la protection des données (DPD) lorsque:

Par exemple, si vous traitez des données à caractère personnel pour de la publicité ciblée faite par l'intermédiaire de moteurs de recherche analysant le comportement des internautes, vous devez désigner un DPD. Toutefois, si vous n'envoyez votre matériel promotionnel qu'une fois par an à vos clients, vous n'avez pas besoin de DPD. De même, un médecin qui recueille des données sur la santé de ses patients n'a probablement pas besoin de DPD. Par contre, un DPD est requis dans le cadre du traitement de données à caractère personnel sur la génétique et la santé pour le compte d'un hôpital.

Le DPD peut être un membre du personnel de votre organisation ou un expert externe avec lequel elle a conclu un contrat de service. Le DPD ne doit pas nécessairement faire partie d'une organisation.

Traitement de données pour le compte d'une autre entreprise

Un responsable du traitement des données ne peut recourir qu'à un sous-traitant offrant suffisamment de garanties, lesquelles doivent figurer dans un contrat écrit entre les parties concernées. Ce contrat doit également comporter un certain nombre de clauses obligatoires, dont celle stipulant que le sous-traitant ne traitera des données à caractère personnel que sur instruction du responsable du traitement des données.

Transfert de données en dehors de l'UE

Lorsque des données à caractère personnel sont transférées en dehors de l'UE, la protection offerte par le RGPD doit accompagner ses données. Cela signifie que si votre entreprise exporte des données à l'étranger, elle doit veiller à ce que l'une des mesures suivantes soit respectée:

Quand le traitement de données est-il autorisé?

Selon les règles de l'UE en matière de protection des données, vous devez traiter les données de manière loyale et licite, pour des finalités explicites et légitimes, et ne traiter que les données nécessaires pour servir ces finalités. Vous devez veiller à remplir une des conditions suivantes pour traiter les données à caractère personnel:

Donner son accord («consentement») pour le traitement des données

Le RGPD prévoit des règles strictes pour le traitement de données fondé sur le consentement. Elles ont pour objectif de garantir que la personne concernée comprenne à quoi elle consent. Aussi le consentement doit-il être libre, spécifique, éclairé et univoque, et faire l'objet d'une demande formulée en des termes clairs et simples. Le consentement doit être donné par un acte positif, comme le fait de cocher une case en ligne ou de signer un formulaire.

Lorsqu'une personne consent au traitement de ses données à caractère personnel, seules les données pour lesquelles le consentement a été donné peuvent être traitées. Vous devez également permettre à la personne concernée de retirer son consentement.

Fournir des informations transparentes

Vous devez indiquer clairement à la personne concernée qui traite ses données à caractère personnel et pourquoi. Les informations suivantes doivent figurer, au minimum:

Dans certains cas, vous devez également indiquer:

Vous devez présenter ces informations en des termes clairs et simples.

Règles spécifiques pour les enfants

Pour recueillir les données à caractère personnel d'un enfant sur la base d'un consentement, par exemple au moyen d'un compte de média social ou d'un compte de téléchargement, vous devez d'abord obtenir un consentement parental, en informant un de ses parents ou son tuteur légal, par exemple. L'âge jusqu'auquel une personne est considérée comme un enfant varie selon le pays, mais il se situe entre 13 et 16 ans.

Droit d'accès et droit à la portabilité des données

Vous devez veiller à ce que la personne concernée ait le droit d'accéder à ses données à caractère personnel gratuitement. Si vous recevez une demande d'accès, vous devez:

Lorsque le traitement est fondé sur le consentement ou un contrat, la personne concernée peut également vous demander de lui renvoyer ses données à caractère personnel ou de les transmettre à une autre entreprise. Ce droit au transfert des données est également appelé «portabilité des données». Vous devez fournir les données dans un format couramment utilisé et lisible par machine.

Droit à la rectification et droit d'opposition

Si une personne concernée estime que ses données à caractère personnel sont incomplètes ou inexactes, elle a le droit de les faire rectifier ou compléter dans les meilleurs délais.

Dans ce cas, vous devez informer tous les destinataires des données à caractère personnel que celles que vous avez partagées avec eux ont été modifiées ou supprimées. Si des données à caractère personnel que vous avez partagées étaient inexactes, il se peut que vous deviez également en informer toute personne les ayant vues (sauf si cela exige des efforts considérés comme disproportionnés).

Une personne peut s'opposer à tout moment au traitement de ses données à caractère personnel pour un usage particulier lorsque votre entreprise les traite pour son propre intérêt légitime ou dans le cadre d'une mission d'intérêt général. Vous devez arrêter de traiter ses données à caractère personnel, sauf si vous poursuivez un intérêt légitime qui prévaut sur les intérêts de la personne concernée.

De même, une personne peut demander que le traitement de ses données à caractère personnel soit limité le temps que soit déterminé si votre intérêt légitime prévaut ou non sur ses intérêts. Toutefois, en cas de marketing direct, vous devez toujours arrêter le traitement des données à caractère personnel lorsque la personne concernée le demande.

Droit à l'effacement («droit à l'oubli»)

Dans certaines circonstances, une personne peut demander au responsable du traitement des données d'effacer ses données à caractère personnel, par exemple si ces données ne sont plus nécessaires pour atteindre la finalité du traitement. Toutefois, votre entreprise n'est pas tenue de le faire si:

Prise de décision et profilage automatisés

Une personne a le droit de ne pas faire l'objet d'une décision prise sur le seul fondement d'un traitement automatisé. Il existe cependant des exceptions à cette règle, par exemple, si elle a donné son consentement explicite à la décision automatisée. Hormis les cas où la décision automatisée possède un fondement juridique, votre entreprise doit:

Par exemple, si une banque automatise la décision d'accorder ou non un prêt à une personne, celle-ci doit être informée de la décision automatisée et pouvoir la contester et demander une intervention humaine.

Violations de données et communication adéquate

Une violation de données désigne la divulgation non autorisée, accidentelle ou illicite, de données à caractère personnel dont vous être responsable, leur inaccessibilité temporaire ou leur modification.

Si une violation de données se produit et engendre un risque pour les libertés et droits individuels, vous devez en informer votre autorité chargée de la protection des données dans un délai de 72 heures après avoir eu connaissance de la violation.

Suivant que la violation de données engendre ou non un risque élevé pour les personnes touchées, votre entreprise peut également être tenue d'informer toutes les personnes concernées.

Répondre aux demandes

Si votre entreprise reçoit la demande d'une personne souhaitant exercer ses droits, vous devez y répondre dans les meilleurs délais et, en tout état de cause, moins d'un mois après réception de la demande. Ce délai de réponse peut être prolongé de deux mois pour les demandes multiples ou complexes, à condition que la personne concernée soit informée de cette prolongation. Les demandes doivent être traitées gratuitement.

Si une demande est rejetée, vous devez informer la personne concernée des raisons de ce rejet et de son droit d'introduire une réclamation auprès de l'autorité chargée de la protection des données.

Analyses d'impact

Une analyse d'impact relative à la protection des données est obligatoire lorsque le traitement envisagé engendrerait un risque élevé pour les droits et libertés des personnes, par exemple en cas d'utilisation de nouvelles technologies.

Un tel risque existe lorsque:

Remarque: les autorités chargées de la protection des données peuvent également considérer d'autres catégories de traitement des données comme étant à haut risque.

Si les mesures mentionnées dans l'analyse d'impact relative à la protection des données ne suppriment pas tous les risques élevés soulevés, l'autorité chargée de la protection des données doit être consultée avant le début du traitement des données.

Garder une trace

Votre entreprise doit être capable de prouver qu'elle agit en conformité avec le RGPD et remplit toutes ses obligations, notamment en cas de demande ou d'inspection de l'autorité chargée de la protection des données.

Une façon d'y parvenir consiste à tenir un registre détaillé où figurent notamment les éléments suivants:

Votre entreprise doit également disposer de procédures et lignes directrices écrites, mises à jour régulièrement, et les communiquer à son personnel.

Si votre entreprise n'est pas plus grande qu'une PMEen, elle n'est obligée de garder une trace de ses activités de traitement, à condition que celles-ci:

  • ne soient pas exercées régulièrement,
  • ne portent pas atteinte aux droits et libertés des personnes concernées,
  • ne concernent pas des données sensibles ou des casiers judiciaires.

Protection des données dès la conception et protection des données par défaut

La protection des données dès la conception désigne le fait que votre entreprise doit envisager des mesures de protection des données dès qu'elle prévoit d'utiliser un nouveau moyen de traiter les données à caractère personnel. En vertu de ce principe, le responsable du traitement doit prendre toutes les mesures techniques et organisationnelles qui s'imposent pour mettre en œuvre les principes de protection des données et pour protéger les droits des personnes concernées. Ces mesures peuvent inclure, par exemple, la pseudonymisation.

La protection des données par défaut désigne le fait que votre entreprise doit toujours utiliser par défaut les paramètres les plus favorables au respect de la vie privée. Par exemple, s'il est possible de choisir entre deux paramètres relatifs à la protection de la vie privée et si l'un de ces paramètres empêche l'accès de tiers aux données à caractère personnel, c'est ce paramètre qui doit être utilisé par défaut.

Violation des règles et sanctions

Le non-respect du RGPD peut entraîner d'importantes sanctions financières, pouvant s'élever jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires mondial d'une entreprise pour certaines infractions. L'autorité chargée de la protection des données peut imposer d'autres mesures correctives à une entreprise, comme l'interdiction du traitement de données à caractère personnel.

FAQ – Protection des données et respect de la vie privée en ligne

Législation européenne

Besoin de services d'assistance?

Contacter un service d'assistance spécialisé

Soutien local aux entreprises - Vous avez des questions sur l’exercice d'une activité transfrontière, par exemple exporter vers un autre pays de l’UE ou y développer son activité? Si c’est le cas, le réseau Enterprise Europe peut vous conseiller gratuitement.

Partager cette page :