A quelques mois de l’échéance, nombreux sont ceux qui se posent encore beaucoup de questions : le RGPD me concerne-t-il ? Dois-je absolument me mettre en conformité vis-à-vis de ce nouveau règlement communautaire ? En fait, rares sont ceux qui pourront y échapper. Grands groupes, PME, startups, administrations, collectivités locales ou encore associations, tous vont devoir se soumettre au RGPD, à condition de réunir les critères suivants :
- Ils traitent des données à caractère personnel.
- Les données concernées sont celles de résidents européens.
- Ils sont directement responsables des traitements, ou ils les effectuent en tant que sous-traitants pour le compte d’un client.
Pour mieux comprendre, détaillons chaque point…
Donnée à caractère personnel : définition
Selon la définition officielle, une donnée à caractère personnel désigne « Toute information identifiant directement ou indirectement une personne physique ». Elle s’oppose à la donnée anonymisée qui elle, n’entre pas dans le cadre du RGPD, car elle ne permet aucune identification. La liste des données à caractère personnel est très longue puisqu’elle va des simples coordonnées d’une personne (adresse, nom, prénom) jusqu’à ses empreintes digitales, en passant par les numéros de téléphone, de Sécurité Sociale ou encore de plaque d’immatriculation, les identifiants Internet et autres adresses IP. De fait, rares sont ceux qui, dans le cadre de leur activité, n’ont pas à manipuler ce type d’informations.
Toutes les sociétés ont ainsi au minimum un registre du personnel et des fichiers clients, lesquels sont truffés de données à caractère personnel qu’elles vont être amenées à traiter de différentes façons selon leurs besoins.
Qu’est-ce qu’un « traitement » de données à caractère personnel ?
La collecte des informations constitue l’un des tout premiers traitements. Elle s’effectue via des formulaires et autres fiches de renseignements, toujours avec le consentement des personnes ciblées. Vient ensuite l’enregistrement des données récupérées, principalement dans des bases informatiques, voire parfois, dans des fichiers papier. Le stockage des informations est également à prendre en compte. Il implique de fixer un délai de conservation. Enfin, il y a tous les traitements susceptibles d’être opérés au quotidien : de la simple consultation à la suppression pure et simple des informations, en passant par la modification, l’utilisation, le transfert, etc.
Le ciblage des citoyens européens
A noter que le RGPD, en tant que règlement européen, limite son champ d’action aux données personnelles qui concernent spécifiquement les citoyens de l’UE. Ainsi, tout organisme amené à collecter et traiter des données de personnes demeurant dans l’un des 28 États membres, devra se conformer au RGPD. Et ce, que cet organisme soit lui-même situé sur le territoire européen, ou non. En effet, une entreprise localisée n’importe où dans le monde sera soumise au règlement, dès lors qu’elle procède au suivi du comportement de personnes résidant en Europe (profilage), ou si elle propose des biens et services à ce même type de public.
Responsables de traitement et sous-traitants : des obligations pour tous
Jusqu’à présent, selon la loi Informatique et Libertés du 6 janvier 1978, le droit ne s’applique qu’à ceux qui sont directement responsables du traitement des données personnelles de leurs clients. Lorsqu’ils confient cette tâche à des sous-traitants, ces derniers se doivent, certes, d’être intransigeants en matière de sécurité et de confidentialité, toutefois, ils n’ont pas d’obligations ni de responsabilités clairement énoncées. Avec le RGPD, les responsables des traitements ne seront plus les seuls impactés. Leurs sous-traitants, s’ils en ont, devront eux aussi se soumettre aux obligations prévues par le texte de loi. Et si ces derniers ne respectent pas les consignes très strictes de leur client donneur d’ordre, s’ils sont incapables de prouver leur bonne conformité au RGPD, ou s’ils ne se plient pas à ses exigences, leur propre responsabilité risque d’être engagée, les exposant par voie de conséquence à de sévères sanctions administratives et financières.
Sources :
https://www.linformaticien.com/dossiers/rgpd160-serez-vous-pr234t160-1.aspx
A venir : Non-conformité au RGPD : que risque-t-on ?
0 commentaires