Qu’est-ce que le RGPD ?
En quoi diffère-t-il de la directive de l’UE sur la protection des données personnelles ?
Le RGPD (Règlement général sur la protection des données) est le cadre juridique applicable en UE et au Royaume-Uni, qui a remplacé en 2018 la directive de l’UE sur la protection des données personnelles. La différence principale entre les deux réside dans le fait que l’un est un règlement, et l’autre une directive.
Un règlement est une loi juridiquement contraignante, tandis qu’une directive est une recommandation qui n’a pas force d’obligation. En d’autres termes, le RGPD est une loi qui doit être respectée par l’ensemble des États membres de l’Union européenne.
On peut également affirmer qu’un règlement est un ensemble unique de règles qui doivent être respectées, et qu’une directive est un ensemble de règles qui laisse une certaine liberté d’interprétation.
Si la précédente directive de l’UE sur la protection des données personnelles ne définissait aucunement l’expression « fuite de données », le RGPD la définit très largement comme étant une « violation de la sécurité entraînant accidentellement ou de manière illicite la destruction, la perte, l’altération, la divulgation ou l’accès non autorisés de données à caractère personnel transmises, stockées ou traitées d’une autre manière. »
Les définitions de « fuite de données » et de « données personnelles » ont leur importance, car de nombreux types d’événement ou d’activité peuvent constituer des infractions au RGPD. Les données personnelles sont définies comme « toute information concernant une personne identifiée ou identifiable – et non seulement les données pouvant être utilisées à des fins de fraude ou d’usurpation d’identité. »
Quelle est la finalité du RGPD ?
Le RGPD vise à protéger les données personnelles et la façon dont les entreprises traitent et stockent les données, puis les détruisent lorsqu’elles ne sont plus nécessaires. La loi permet aux individus de contrôler la façon dont une entreprise peut utiliser les informations qui leur sont directement et personnellement associées, et établit huit droits spécifiques.
Le RGPD instaure en outre des règles très strictes régissant les mesures à prendre en cas de fuite de données personnelles, ainsi que les conséquences encourues (amendes) auxquelles s’exposent les entreprises.
Comment le RGPD définit-il les « données personnelles » ?
Les règles du RGPD sont les plus strictes au monde sur le plan de la protection des données. Elles donnent une définition très large des « données personnelles» pour y inclure toutes les informations pouvant servir à identifier un individu. Le RGPD peut être appliqué de multiples façons, y compris (sans s’y limiter) dans les cas suivants :
À des fins de conformité vis-à-vis de la RGPD, il est préférable de garder à l’esprit l’expression « toute information ». Au moment de traiter et de protéger les informations en votre possession, vous devez partir du principe que les données personnelles constituent un facteur d’identification.
Même la Cour de justice de l’Union européenne donne une définition plus élaborée de ces données personnelles, ce qui donne une petite idée de la définition très large adoptée par le RGPD. Lorsqu’un individu est identifiable par des informations enregistrées au moyen de dispositifs tels qu’une pointeuse badgeuse, ou en répondant à un test et aux remarques d’un examinateur, cela peut relever de la définition donnée par le RGPD.
Le RGPD inclut également des informations subjectives dans sa définition des « données personnelles », par exemple des évaluations de performance au travail, des études de solvabilité par un organisme de prêt, etc.
Le RGPD applique également différents niveaux de protection, et soumet les données personnelles sensibles (génétique, santé, origines ethniques, opinions politiques, affiliations religieuses, appartenance syndicale, etc.) à des normes de protection encore plus élevées.
À qui le RGPD s’applique-t-il ?
Les données personnelles couvertes par le RGPD commencent par toutes les données attribuées à une personne physique à sa naissance, englobent toutes les données relatives à cette même personne tout au long de sa vie, et ce, jusqu’à son décès. Les données relatives aux organisations, entreprises, institutions, etc. sont cependant exclues.
Les entreprises stockant ou traitant des données personnelles relatives à des résidents de l’UE sont tenues de se conformer au RGPD, même si elles sont basées hors de l’UE.
Pour rappel, le règlement définit les données personnelles comme « toute information se rapportant à une personne physique identifiée ou identifiable ».
L’impact du RGPD sur le personnel informatique ne doit pas être négligé. Les contrôleurs, les délégués à la protection des données, les spécialistes du traitement et bien d’autres jouent tous un rôle dans le respect et l’application du RGPD. Voici un rappel des postes associés au respect du RGPD :
Contrôleur :
Contrôleur
L’impact du RGPD sur le personnel informatique ne doit pas être négligé. Les contrôleurs, les délégués à la protection des données, les spécialistes du traitement et bien d’autres jouent tous un rôle dans le respect et l’application du RGPD. Voici un rappel des postes associés au respect du RGPD.
Spécialiste du traitement de données
Un spécialiste du traitement des données est un individu qui traite des données pour le compte du contrôleur des données. Il peut s’agir par exemple de sociétés tierces, telles que des cabinets marketing ou des entreprises d’hébergement sur le cloud.
Délégué à la protection des données
Un délégué à la protection des données (DPO) peut être désigné comme autorité principale en matière de conformité vis-à-vis du RGPD au sein de l’entreprise. Pour résumer, la présence d’un DPO est requise lorsque les données sont traitées par une autorité ou un organisme public, lorsqu’elles sont traitées au moyen d’une méthode régulière et systématique à grande échelle, ou en cas de traitement à grande échelle de données spécialisées (données sur les délits et les crimes, par exemple).
Contrôleurs, spécialistes du traitement ou entreprises situées hors UE
Les contrôleurs, spécialistes du traitement ou entreprises situées hors UE mais qui soit fournissent des services/biens au sein de l’UE, soit traitent des données d’identification de citoyens de l’UE, doivent également se conformer au RGPD.
Les 8 droits du RGPD
Difficultés liées au respect du RGPD
Le strict respect du RGPD comporte sa part de difficultés. Cependant, les pays du monde entier reconnaissent que les strictes directives visant à protéger les données personnelles sont mises en place dans l’intérêt tant des organisations que des individus. Par ailleurs, de nombreux pays prennent le RGPD comme modèle pour élaborer leurs propres règlements de conformité : California Consumer Privacy Act (CCPA), proposition de loi sur la mise en œuvre de la Charte du numérique (Canada), Lei Geral de Protecao de Dados ou LGPD (Brésil).
Pour se conformer, les entreprises ont la lourde mission de protéger les droits de leurs personnes concernées et de mener des études d’impact, mais aussi de signaler les incidents (les fuites de données, par exemple) et de veiller à ce que des procédures d’audit soient mises en place. Si le RGPD est un règlement européen, son rayonnement dépasse les frontières de l’UE : en effet, toute organisation possédant des employés ou des clients au sein de l’UE ou qui utilise des données traitées hors UE doit également s’y conformer.
Le personnel informatique a parfois eu recours à des processus manuels, voire à des contrôles temporaires afin de satisfaire aux exigences lors de l’adoption du RGPD, mais cette approche n’est pas pérenne. A contrario, une technologie robuste de protection des données à la fois automatisée et rationalisée, sera plus en mesure de s’aligner sur les strictes exigences réglementaires en matière de limitation d’accès aux données personnelles et de sécurisation des données inactives et en transit. Les trois sujets de préoccupation majeurs pour les équipes informatiques sont les suivants :
Une suite de solutions de sécurité qui vous aide à respecter le RGPD
Le respect du RGPD exige une approche multi-niveaux. Notre suite de solutions de sécurité offre la meilleure réponse qui soit en appliquant les politiques mises en place et en s’intégrant en toute transparence partout dans votre entreprise. La suite de sécurité Fortra comporte un éventail de solutions axées sur la sécurité, conçues pour vous aider à satisfaire les exigences de la RGPD.
Nous pouvons vous aider à respecter le RGPD
Contactez les experts Fortra et bénéficiez d’une consultation gratuite de 30 minutes pour découvrir les solutions les mieux adaptées à votre entreprise. Nous vous aiderons à planifier vos prochaines actions afin de garantir votre conformité vis-à-vis du RGPD.