Le RGPD en clair – « c’est quoi le RGPD? »

Comprendre la protection des données personnelles pour réussir sa mise en conformité au RGPD

« C’est quoi le RGPD? » Commençons par là. Simplement.

Le RGPD ou « Règlement Général de Protection des Données » a été adopté par l’Union Européenne le 14 avril 2016. C’est un texte commun à l’ensemble des états membres de l’Union européenne. Il leur est directement applicable. Chaque Etat a eu la liberté de l’adapter à sa propre réglementation nationale.

Le RGPD est applicable ici et maintenant

Il est applicable (ou « entré en vigueur ») depuis le 25 mai 2018. 

Ce texte a créé de nouvelles obligations (pour les professionnels) de nouveaux droits (pour les personnes physiques dont les données sont utilisées), et a érigé un niveau plus important de sanctions que les autorités de contrôle ont le pouvoir de prononcer (en France, cette autorité, c’est la CNIL). 

Le RGPD, ce sont 99 articles, précédés d’un long préambule de 176 paragraphes (ou « considérants »). si, si…voyez plutôt: RGPD, l’intégrale

Le RGPD vous concerne

Cet ensemble de règles protège toute personne vivant en UE, de l’utilisation de ses données personnelles sur le territoire de l’UE par les professionnels, européens ou pas, qui y proposent leurs produits et services.

1. sont protégés: tous les individus, personnes physiques présents sur le territoire de l’UE. On parle de « personnes concernées«  

   La protection conférée par le présent règlement (…) [s’applique] aux personnes physiques, indépendamment de leur nationalité ou de leur lieu de résidence, en ce qui concerne le traitement de leurs données à caractère personnel. » (RGPD, considérant 14).

2. sont soumis au RGPD: tous les professionnels, quels que soient la nature et la forme de leur activité, dès lors qu’elle est déployée sur le territoire de l’UE, et/ou qu’elle les conduit à utiliser les données personnelles de personnes concernées. On parle de « responsables de traitement », de « sous-traitants« , 

source : CNIL

Plus de déclarations à la CNIL depuis l’entrée en vigueur du RGPD

Depuis l’entrée en vigueur du RGPD, les déclarations étaient obligatoires préalablement, en France, en vertu de la Loi Informatique et Libertés, n’ont plus lieu d’être, sauf exceptions. Elles n’ont plus de valeur juridique.

Astuce: ces normes sont toujours accessibles et peuvent tracer pour les professionnels un chemin de conformité, pour en savoir plus, c’est par ici.

Le RGPD, un risque de sanctions lourdes

La Loi informatique et Libertés sanctionnait déjà les manquements par des sanctions pénales.

• le risque pénal

Les articles 226-16 à 226-24, articles R 625-10 à R 625-13, le Code pénal sanctionnent les violations des droits des personnes concernées sur leurs données personnelles, en France.

Exemple 1:  Informez vos clients et collaborateurs est une obligation.

Si vous ne mettez pas en place de notice, de politique de confidentialité ou encore de clauses d’information de vos clients et prospects, ou de vos collaborateurs, leur précisant l’utilisation qui est faite de leurs données personnelles (c’est l’article 13 du RGPD qui vous liste les informations obligatoires à fournir), la sanction pénale encourue est une amende de 1.500 euros d’amende.  Article R625-10 – Code pénal – Légifrance (legifrance.gouv.fr)

Exemple 2 : Faire de la prospection commerciale impose de respecter les droits des prospects

Si un de vos clients vous demande sa désinscription de votre newsletter ou de vos SMS/mails de prospection commerciale, mieux vaut effectivement respecter son droit (on parle de « droit d’opposition »), la sanction pénale est lourde, jugez plutôt: 

Les sanctions que peut prononcer la CNIL sont: 

le montant de l’amende maximale?

une amende administrative de la CNIL est plafonnée à

– 10 millions d’euros

– ou 2% du chiffre d’affaire annuel mondial de la société.

Les manquements les plus graves, ce montant peut s’élever jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial. » (source CNIL)