Les obligations du RGPD
Qu’est-ce que le RGPD ?
Tout organisme, quels que soient sa taille, son pays d’implantation et son activité, est concerné par le « Règlement général sur la protection des données » (RGPD), applicable depuis le 25 mai 2018, y compris les entreprises de profession libérale.
Par « donnée personnelle », on entend toute information se rapportant à une personne physique identifiée directement (par son nom ou son prénom) ou indirectement (par son numéro client, son numéro de téléphone, etc.). L’identification peut être réalisée à partir d’une seule donnée ou à partir d’un croisement de données.
Or un certain nombre d’informations doit être communiqué à l’individu lorsqu’on lui réclame ses données, comme la nature des données demandées, l’identité de la personne ou de l’entité qui va les traiter, la raison pour laquelle elle les demande, combien de temps elles seront conservées. Le dit individu dispose également du droit d’y accéder, de les rectifier, de les effacer et même de demander à ce qu’elles ne soient plus traitées, moyennant exceptions et conditions.
En cas de non-respect du RGPD, des sanctions, dont les plafonds sont particulièrement élevés, sont applicables à l’entreprise par la CNIL.
À noter : le RGPD concerne aussi les sous-traitants qui manipulent des données personnelles pour le compte d’autres organismes. Si le professionnel traite ou collecte des données pour le compte d’une autre entité (collectivité locale, entreprise ou association), il a l’obligation de garantir la protection des données qui lui sont confiées.
Le RGPD : une dimension européenne
Le RGPD encadre et modernise le traitement des données personnelles sur le territoire de l’Union européenne. Il s’inscrit dans la continuité de la loi française « Informatique et libertés » de 1975 et renforce le contrôle par les citoyens de l’utilisation qui peut être faite des données les concernant. Il renforce également la coresponsabilité des organismes car ces derniers doivent être en mesure de démontrer la conformité de leur traitement par une documentation conforme (tenue d’un registre des activités de traitement, communication en cas de fuite, etc.).