Le RGPD (Règlement Général sur la Protection des Données) est le règlement européen 2016/679 …
entré en application le 25 mai 2018 dans tous les États membres de l’Union européenne.
Il encadre le traitement des données personnelles et confère de nouveaux droits aux citoyens.
Le RGPD s’applique à toute organisation — européenne ou non — qui traite des données de résidents de l’UE. |
Protéger les données personnelles des citoyens européens
Harmoniser les règles dans toute l’UE
Renforcer les droits des personnes concernées
Responsabiliser les organisations (accountability)
Sanctionner les manquements (jusqu’à 4 % du CA mondial)
| Terme | Définition |
|---|---|
Donnée personnelle | Toute information relative à une personne physique identifiée ou identifiable |
Traitement | Toute opération sur des données (collecte, stockage, modification, etc.) |
Responsable de traitement | Entité qui détermine les finalités et les moyens |
Sous-traitant | Entité qui traite les données pour le compte du responsable |
Personne concernée | Personne dont les données sont traitées |
Les données sensibles font l’objet d’une protection renforcée — leur traitement est en principe interdit, sauf exceptions. |
Origine raciale ou ethnique
Opinions politiques, religieuses, philosophiques
Appartenance syndicale
Données génétiques et biométriques
Données de santé
Vie sexuelle ou orientation sexuelle
Licéité, loyauté, transparence
Limitation des finalités
Minimisation des données
Exactitude
Limitation de la conservation
Intégrité et confidentialité
Responsabilité (accountability)
| Droit | Description |
|---|---|
Information | Être informé du traitement |
Accès | Obtenir une copie de ses données |
Rectification | Corriger des données inexactes |
Effacement | "Droit à l’oubli" |
Limitation | Geler le traitement |
Portabilité | Récupérer ses données dans un format réutilisable |
Opposition | Refuser un traitement |
Décision automatisée | Refuser une décision purement automatique |
Documentation exhaustive de toutes les activités de traitement.
Obligatoire pour : autorités publiques, surveillance à grande échelle, données sensibles à grande échelle.
Intégration de la protection des données dès la conception du projet.
Notifier la CNIL sous 72 heures
Informer les personnes si risque élevé
Réaliser une analyse d’impact pour les traitements à risque élevé.
Contrats spécifiques (DPA — Data Processing Agreement).
Encadrement strict (clauses contractuelles types, BCR, décisions d’adéquation).
Les sanctions peuvent atteindre :
|
Meta (2023) — 1,2 milliard € (transferts UE-US)
Amazon (2021) — 746 millions € (publicité ciblée)
Google (2019) — 50 millions € (consentement)
Conseiller le responsable de traitement
Contrôler le respect du RGPD
Coopérer avec la CNIL
Sensibiliser et former
Point de contact pour les personnes concernées
Le DPO doit disposer de l'indépendance et des moyens nécessaires pour exercer ses missions. Il rapporte au plus haut niveau hiérarchique. |
Tout traitement doit reposer sur l'une de ces 6 bases légales (art. 6) :
Consentement — libre, spécifique, éclairé, univoque
Contrat — exécution d’un contrat
Obligation légale — imposée par la loi
Intérêts vitaux — sauvegarde de la vie
Mission d’intérêt public
Intérêt légitime — du responsable, sauf si droits des personnes prévalent
Cartographier les traitements (registre)
Identifier les risques (PIA)
Mettre en place des mesures (techniques + organisationnelles)
Désigner un DPO si nécessaire
Former les équipes
Auditer régulièrement
Documenter la conformité
Le RGPD n’est pas qu’une contrainte : c’est un cadre vertueux qui responsabilise les organisations et renforce la confiance numérique. |
La conformité est un processus continu : nouvelles données, nouveaux usages, nouveaux outils nécessitent une vigilance permanente.
À combiner avec : PIA · CNIL · AUP · Moindre privilège |