< Retour

Module 4.2

Le RGPD, comprendre le cadre juridique 

ESS

Ce que vous allez voir

🧾Qu’est-ce que le RGPD ?

🛡️Les acteurs du RGPD

🔑Les notions clés du RGPD

🧾Qu’est-ce que le RGPD ? 

Le Règlement Général sur la Protection des Données (RGPD) est un texte législatif européen adopté en 2016 et entré en application le 25 mai 2018. Il constitue le socle de la protection des données personnelles au sein de l’Union Européenne, remplaçant une directive de 1995 devenue obsolète suite aux transformations numériques que nous évoquions en introduction. 

Le RGPD n’est néanmoins pas le premier texte venant consacrer les principes de protection des données personnelles. En effet, la Loi Informatique et Libertés (LIL) de 1978 contribuait déjà à poser les bases en la matière et à en désigner une autorité de contrôle qu’est la CNIL. 

L’objectif du RGPD est double. D’une part, il vise à protéger les droits fondamentaux des personnes en garantissant la confidentialité, la sécurité et le contrôle de leurs données personnelles. D’autre part, il cherche à harmoniser les règles au sein de l’Union Européenne pour faciliter les échanges de données entre les États membres tout en créant un cadre juridique clair et uniforme. Néanmoins, le RGPD ayant été consacré par une directive de l’Union Européenne, il laisse aux pays membres la possibilité de faire varier certaines parties du texte.  

Comme évoqué précédemment, le RGPD s’applique à toute organisation, publique ou privée, qui traite des données personnelles de personnes se trouvant sur le territoire européen, quelle que soit la taille de la structure ou son lieu d’implantation. Ainsi, une petite association française de cinq bénévoles est soumise aux mêmes obligations fondamentales qu’une multinationale, même si les moyens pour y répondre diffèrent évidemment. 

Cette universalité est essentielle à comprendre : le RGPD ne fait pas de distinction selon la taille, le statut juridique ou le secteur d’activité. Si vous collectez ne serait-ce qu’un simple fichier de contacts avec des noms et des adresses électroniques, vous êtes concerné. 

🛡️Les acteurs du RGPD 

Pour bien appréhender le RGPD, il faut d’abord identifier les différents acteurs qui sont concernés par ce texte, leurs responsabilités et leurs droits respectifs : 

  • Le responsable de traitement est la personne physique ou morale (généralement l’organisation elle-même) qui détermine les finalités et les moyens du traitement des données personnelles. Concrètement, si votre association décide de créer un fichier de ses adhérents pour gérer les cotisations et envoyer une newsletter, c’est elle qui est responsable de traitement. C’est à ce titre qu’elle doit garantir la conformité au RGPD et répondre aux demandes des personnes concernées. 
  • Le sous-traitant est une personne physique ou morale qui traite des données personnelles pour le compte et sur instruction du responsable de traitement. Par exemple, si vous utilisez un logiciel de gestion hébergé dans le cloud, l’éditeur de ce logiciel agit en tant que sous-traitant. Il doit respecter certaines obligations du RGPD et vous fournir les garanties nécessaires sur la sécurité et la confidentialité des données. 
  • Le délégué à la protection des données (DPO) est une personne désignée par l’organisation pour piloter la conformité au RGPD, conseiller le responsable de traitement, et servir de point de contact avec la CNIL et les personnes concernées. Sa désignation est obligatoire dans certains cas (notamment pour les organismes publics), mais fortement recommandée dans tous les cas, y compris pour les petites structures. 
  • La Commission Nationale de l’Informatique et des Libertés (CNIL) est l’autorité de contrôle française créée en 1978 et chargée de veiller au respect des principes de protection des données personnelles. Elle a pour missions d’informer, de conseiller, de contrôler et de sanctionner. En ce qui concerne la sanction, la CNIL sanctionne les atteintes au RGPD mais également à la Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés et des réglementations connexes.  Elle est également un interlocuteur précieux pour vous accompagner dans votre démarche de mise en conformité, proposant de nombreuses ressources gratuites et accessibles. Ce module repose d’ailleurs essentiellement sur les contenus pédagogiques fournis par cet organisme : autant construire sa stratégie de conformité en s’appuyant sur ceux qui seront amenés à la juger, me direz-vous. 
  • Enfin, la personne concernée désigne toute personne physique dont les données sont traitées. Il s’agit de vos bénéficiaires, de vos adhérents, de vos salariés, de vos bénévoles, de vos donateurs, ou même de simples visiteurs de votre site web. 

🔑Les notions clés du RGPD 

Maintenant que nous avons une vision d’ensemble des différents acteurs liés par le RGPD, il convient de maîtriser quelques notions fondamentales qui structurent l’ensemble du règlement.  

Une donnée personnelle est toute information se rapportant à une personne physique identifiée ou identifiable. Cette définition est volontairement très large. Elle englobe les données évidentes comme le nom, le prénom, l’adresse électronique, le numéro de téléphone, mais également des éléments moins directs comme un numéro d’adhérent, une adresse IP, un identifiant de connexion, ou même une photographie. Une personne est considérée comme identifiable si elle peut être identifiée directement (par son nom) ou indirectement (par le croisement de plusieurs informations comme l’âge, le lieu de résidence et la profession). 

Certaines techniques permettent de rendre plus difficile voire impossible l’identification de la personne concernée. Il s’agit des techniques d’anonymisation et de pseudonymisation qui ne doivent pas être confondues. 

  • La pseudonymisation consiste à remplacer les données directement identifiantes (nom, prénom, etc.) par des données indirectement identifiantes (alias, numéro, etc.). Ainsi, les données ne peuvent plus être attribuées à une personne identifiée, sans information supplémentaire (table de correspondance entre le numéro ou l’alias et le nom/ prénom de la personne).  
    • Exemple : Thomas équivaut au numéro 1 dans la table de correspondance. Cette table n’est pas transmise au prestataire qui saura uniquement que le numéro 1 a répondu oui à la question « êtes vous satisfait de votre poste ? ».  
  • L’anonymisation consiste à utiliser un ensemble de techniques de manière à rendre impossible toute identification de la personne par quelque moyen que ce soit et de manière irréversible. 
    • Exemple : la table de correspondance est supprimée et les données sont conservées afin de réaliser des statistiques. La société veut néanmoins conserver l’information selon laquelle 75% des salariés sont satisfaits de leur poste. 

L’opération de pseudonymisation est réversible, contrairement à l’anonymisation. Les données anonymisées ne rentrent plus dans le champ du RGPD puisqu’il est impossible d’identifier la personne concernée.  

Certaines données sont qualifiées de sensibles et bénéficient d’une protection renforcée. Il s’agit des données révélant l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l’appartenance syndicale, les données génétiques, biométriques, concernant la santé, la vie sexuelle ou l’orientation sexuelle. Le traitement de ces données est en principe interdit, sauf exceptions strictement encadrées (consentement explicite de la personne, nécessité pour la médecine préventive, intérêt public substantiel, etc.). 

Un traitement désigne toute opération effectuée sur des données personnelles : collecte, enregistrement, organisation, structuration, conservation, modification, consultation, utilisation, communication, diffusion, suppression. Autrement dit, dès lors que vous manipulez des données personnelles, vous effectuez un traitement au sens du RGPD. « Un traitement de données doit avoir un objectif, une finalité déterminée préalablement au recueil des données et à leur exploitation.» insiste la CNIL. Justement, la finalité, venons-en. 

La finalité est l’objectif poursuivi par le traitement. Elle doit être déterminée, explicite et légitime. Vous ne pouvez pas collecter des données « au cas où » ou « pour voir ». Chaque traitement doit avoir un but précis, clairement défini à l’avance, et les données collectées doivent être strictement nécessaires à l’atteinte de cet objectif. 

La base légale est le fondement juridique qui autorise le traitement, autrement dit ce qui donne le droit à votre organisme de collecter ou d’utiliser des données personnelles. 

Le RGPD prévoit 6 bases légales principales :

  1. le consentement de la personne concernée,
  2. l’exécution d’un contrat,
  3. le respect d’une obligation légale,
  4. la sauvegarde des intérêts vitaux,
  5. l’exécution d’une mission d’intérêt public, ou
  6. l’intérêt légitime du responsable de traitement.

Il est impératif d’identifier la base légale appropriée pour chaque traitement que vous effectuez, car elle détermine les obligations et les droits applicables. 

Ce module a été rédigé par Alice Picard, consultante cybersécurité chez Advens, diplômée en Master droit du numérique et passionnée par l’accompagnement des organisations dans leur mise en conformité.

Module précédent

Module suivant