Javascript is required
logo-dastralogo-dastra

Qu'est-ce que le RGPD ?

Qu'est-ce que le RGPD ?
Marine Boquien
Marine Boquien
29 avril 2024·10 minutes de lecture

Définition RGPD

Voici la définition du RGPD :

Le RGPD (Règlement Général sur la Protection des Données) est une réglementation européenne entrée en vigueur le 25 mai 2018. Son objectif principal est de protéger les données personnelles des citoyens de l’Union européenne et de garantir leur confidentialité.

Ce règlement impose des règles strictes concernant la collecte, le traitement, la conservation et la sécurité des données à caractère personnel. Il prévoit également des sanctions en cas de non-respect des obligations légales.

L’un des principes fondamentaux du RGPD est la mise en conformité des entreprises, organisations et institutions qui traitent des données personnelles. Cela inclut la désignation d’un responsable du traitement, chargé de garantir que les traitements réalisés sont légitimes, sécurisés et documentés.

Téléchargez le texte intégral du règlement européen

Qu’est-ce qu’une donnée personnelle ?

Une donnée personnelle est toute information permettant d’identifier directement ou indirectement une personne physique. Il s’agit d’une notion centrale en matière de protection de la vie privée et du RGPD (Règlement Général sur la Protection des Données).

Quelles sont les données considérées comme personnelles ?

La définition d'une donnée à caractère personnel est très large. Elle englobe toute information liée à une personne physique identifiée ou identifiable :

  • Identification directe : nom, prénom, adresse e-mail, numéro de téléphone.

  • Identification indirecte : numéro client, identifiant en ligne, adresse IP, données biométriques (empreintes digitales, reconnaissance faciale), caractéristiques personnelles, économiques, sociales ou culturelles.

  • Certaines informations sont considérées comme données sensibles :

    • Origine ethnique

    • Opinions politiques

    • Croyances religieuses

    • Données de santé

    • Données biométriques

    • Orientation sexuelle

Leur traitement est strictement encadré et nécessite des précautions particulières, notamment des mesures techniques et organisationnelles renforcées.

Une personne physique peut être identifiée à partir :

  • D'une seule donnée (ex. : numéro de sécurité sociale, ADN).

  • D’un croisement de plusieurs données : par exemple, une femme vivant à une certaine adresse, née à une date précise, abonnée à un magazine spécifique et engagée dans une association particulière.

Exemples concrets de données personnelles

Un fichier marketing contenant des informations sur les habitudes d’achat, la géolocalisation, l’âge ou les préférences d’un individu est considéré comme un traitement de données personnelles, même si le nom de la personne n’est pas explicitement mentionné. Dès lors qu’il est possible d’identifier une personne physique à partir des informations collectées, il s’agit bien de données personnelles.

Qu’est-ce qu’un traitement de données personnelles ?

Le traitement de données personnelles désigne toute action réalisée sur des données permettant d’identifier une personne (nom, adresse, email, numéro de téléphone, etc.). Cela peut être la collecte, le stockage, la modification, l’utilisation ou même la suppression de ces données.

Un traitement doit toujours avoir un objectif clair et légitime et être documenté par le responsable du traitement.. On ne peut pas collecter des données personnelles “juste au cas où”. Il faut une raison valable, en lien direct avec votre activité professionnelle.

Exemple concret :
Vous collectez les informations de vos clients pour livrer un produit, envoyer une facture ou créer une carte de fidélité. Ces actions font partie d’un traitement de données dont la finalité est la gestion de votre clientèle.

La notion de traitement est très large. Elle couvre aussi bien :

  • La tenue d’un fichier clients,

  • La collecte de contacts via un formulaire,

  • La mise à jour d’une base fournisseurs, etc.

💡 Important :
Un fichier ne contenant que des données d’entreprises (ex. : nom de société, numéro de standard, email générique) n’est pas un traitement de données personnelles.

📝 Et ce n’est pas réservé aux outils numériques :
Même un fichier papier avec des données personnelles est concerné par le RGPD. Il doit être protégé de la même façon qu’un fichier informatique.

Quel est l'objectif du RGPD ?

L'objectif du RGPD est de permettre aux citoyens européens de mieux contrôler leurs données personnelles. Il renforce aussi la confiance dans la façon dont les entreprises utilisent leurs données. Au cœur du RGPD se trouvent des principes clés visant à protéger la vie privée et les droits des individus. :garantir aux individus un contrôle accru sur leurs données personnelles

  • instaurer une confiance accrue dans le traitement de ces données par les entreprises et les institutions. Au cœur du RGPD se trouvent des principes clés visant à protéger la vie privée et les droits des individus.

3 Objectifs :

  • Améliorer les droits des personnes
  • Encourager que les personnes qui manipulent les données soient plus impliquées et responsables.
  • Accroître la légitimité de la régulation grâce à un travail plus étroit entre les organismes de protection des données.

L’idée est de faire face aux nouveaux défis numériques, aux risques accrus de fuite de données et de garantir un cadre de confiance dans les relations entre les utilisateurs et les entreprises.

Qui est concerné par le RGPD ?

Le RGPD s'applique à toute organisation, quelle que soit sa taille ou sa position géographique :

  • Est établie sur le territoire de l’Union européenne, ou
  • Traite les données personnelles de personnes situées dans l’Espace Économique Européen (UE + Norvège + Islande + Liechtenstein), même si l’entreprise est basée hors de l’UE.

Cela inclut :

  • les entreprises commerciales
  • les association et ONG
  • les institutions publiques
  • Les sous-traitants et prestataires
  • Les fournisseurs de services en ligne

👉 Même les organisations qui agissent en tant que personnel pour le compte d’une entreprise (ex. : sous-traitants) sont soumises aux obligations du RGPD.

Le RGPD s’applique également aux transferts de données vers des pays tiers, hors UE. Dans ce cas, des garanties spécifiques doivent être mises en place pour protéger les données personnelles transférées (clauses contractuelles types, décisions d’adéquation, etc.).

Qu’est-ce qu’un traitement de données personnelles ?

Le traitement de données personnelles désigne toute opération réalisée sur des informations permettant d’identifier directement ou indirectement une personne physique.

Il peut s’agir, par exemple, du nom, du prénom, de l’adresse e-mail, du numéro de téléphone, ou encore d’un identifiant client.

Le traitement ne se limite pas à la collecte des données : il englobe aussi le stockage, la modification, la consultation, la transmission, ou encore la suppression des données.

Finalité et légitimité du traitement

Un traitement doit toujours avoir une finalité précise, légitime et clairement définie. Il ne peut pas être effectué "juste au cas où". Toute action sur des données personnelles doit répondre à un objectif concret, en lien avec votre activité professionnelle.

Exemple : La collecte d'informations client pour assurer une livraison, éditer une facture ou gérer une carte de fidélité constitue un traitement de données personnelles, dont la finalité est la gestion de la relation client.

Ce traitement doit également être documenté et encadré par le responsable du traitement, c’est-à-dire la personne (ou entité) qui détermine les finalités et les moyens du traitement.

Une notion large, au-delà du numérique

Le RGPD définit le traitement de manière très large, indépendamment du support utilisé (informatique ou papier). Un traitement peut inclure, entre autres :

  • La collecte
  • L’enregistrement
  • L’organisation
  • La conservation
  • L’adaptation ou la modification
  • L’extraction
  • La consultation
  • L’utilisation
  • La communication par transmission
  • La diffusion ou toute autre forme de mise à disposition
  • Le rapprochement ou l’interconnexion
  • La suppression ou la destruction

Exemples concrets de traitements

  • Tenue d’un fichier client
  • Collecte de contacts via un formulaire en ligne
  • Mise à jour d’une base fournisseurs
  • Transmission d’un fichier à un prestataire (ex. : envoi à une plateforme marketing)

📌 Important : Un fichier contenant uniquement des données d’entreprise (ex. : nom de société, numéro de standard, email générique) n’est pas considéré comme un traitement de données personnelles, car il ne permet pas d’identifier une personne physique.

📎 À noter : Le RGPD s’applique aussi aux fichiers papier contenant des données personnelles. Ils doivent être protégés par des mesures techniques et organisationnelles appropriées, au même titre qu’un fichier numérique.

Les bases légales dont le consentement

L'un des principaux aspects du RGPD est la nécessité d'avoir une base légale pour traiter les données, dont fait partie le consentement. Dans certains cas, les organisations doivent obtenir un consentement clair et spécifique de la part des individus avant de collecter et de traiter leurs données personnelles. Ce consentement doit être librement donné, informé et révocable à tout moment par l'individu. Six bases légales permettent de traiter des données personnelles :

Dans certains cas, les organisations doivent obtenir un consentement clair et spécifique de la part des individus. Ce consentement doit être reçu avant de collecter et de traiter leurs données personnelles. Ce consentement doit être librement donné, informé et révocable à tout moment par l'individu.

Six bases légales permettent de traiter des données personnelles :

  • le consentement
  • les intérêts légitimes
  • les intérêts vitaux
  • l'intérêt public
  • l'obligation légale
  • le contrat

Les droits des personnes

Le RGPD garantit plusieurs droits aux individus :

Le responsable du traitement est tenu de faciliter l’exercice de ces droits, dans des délais raisonnables.

La responsabilité

Une autre disposition essentielle du RGPD est le principe de responsabilité et de transparence des organisations. Les entreprises doivent être en mesure de démontrer leur conformité au RGPD en mettant en place des mesures de protection des données et en tenant des registres détaillés de leurs activités de traitement des données.

Les sanctions du RGPD

Le RGPD introduit également des sanctions sévères en cas de non-conformité. Les autorités de protection des données sont habilitées à infliger des amendes pouvant atteindre 4% du chiffre d'affaires mondial annuel d'une entreprise ou 20 millions d'euros, selon le montant le plus élevé.

Le RGPD vise à créer un environnement où les individus ont le contrôle sur leurs propres données et où les organisations traitent ces données de manière responsable et éthique.

Bien que sa mise en œuvre puisse représenter un défi pour de nombreuses entreprises, le RGPD constitue un pas significatif vers une meilleure protection de la vie privée et des droits individuels dans l'ère numérique.

RGPD

Logiciel RGPD Dastra

Vous souhaitez être conforme au RGPD ? Le logiciel Dastra vous propose de nombreuses fonctionnalités pour vous aider à respecter les normes de protection des données.

A propos de l'auteur
Marine Boquien
Marine Boquien
Inscrivez-vous à notre newsletter

Nous vous enverrons quelques emails pour vous tenir informé de notre actualité et des nouveautés de notre solution

* Vous pourrez toujours vous désinscrire sur chaque newsletter.