Les droits des citoyens dont celui à la vie privée sont mis en péril par le développement des réseaux sociaux. Il en est de même pour leurs libertés fondamentales. La mise en place des règlements pour la protection des informations concernant chaque citoyen s’avère une priorité absolue pour l’Union européenne. La non-conformité avec ces prescriptions peut amener des sanctions sévères aux organismes ou entreprises délictueux.
RGPD : qu’est-ce que c’est ?
Le RGPD est l’acronyme de Règlement Général pour la Protection des Données. Mis en place au niveau de l’Union européenne, il sert de balise par rapport au traitement et à la transmission des données individuelles des citoyens. Ce règlement concerne tous les organismes situés sur le territoire européen.
Quel est le but du RGPD ?
Les données personnelles concernent les informations relatives à un individu physique (noms, prénoms, adresse postale ou électronique, photo, etc.)
Ces données stockées dans une base peuvent provenir d’une collecte suivie d’un traitement effectués au sein d’un organisme. Elles sont utilisées pour vérifier la situation d’une personne ou pour une mise à jour systématique de la base de données.
Le RGPD a pour objectif principal de protéger la vie privée des citoyens européens. Dans ce sens, il conscientise les organismes à appliquer ces règlements en guise de contribution à la sécurisation des données individuelles de chaque individu. Le RGPD vise ainsi l’uniformisation des pratiques pour la réglementation au niveau de chaque État européen.
Par ailleurs, il tend vers le développement de l’auto-contrôle au niveau des organismes pour accroître leur responsabilité dans la protection des données. Et enfin, le RGPD affermit le droit de chaque individu par rapport à l’accès à ces informations, leur confidentialité et leur effacement.
Est-ce que le RGPD est obligatoire ?
Le RGPD vise la protection des données personnelles des citoyens européens. Il a été conçu pour répondre aux demandes de nombreux internautes qui constatent que leur droit à la vie privée n’est plus respecté. En effet, leurs données personnelles sont diffusées sur les réseaux sociaux à diverses fins, surtout commerciales, sans qu’il y ait eu consentement de leur part.
Par ailleurs, certaines personnes ne veulent plus apparaitre sur les plateformes internet et souhaitent jouir de leur droit d’oubli.
Face à ces infractions vis-à-vis de la liberté individuelle des citoyens, l’Union européenne a élaboré le RGPD selon des principes fermes pour maintenir l’éthique sur l’exploitation des données personnelles. Ce règlement est entré en vigueur le 25 mai 2018 sur le territoire et son application est obligatoire dans chaque État membre.
Ainsi, toutes les entités utilisant ces données personnelles sont contraintes de se conformer au RGPD pour le respect du droit de chaque individu. En cas d’infraction sur ce règlement, le citoyen est libre de recourir aux instances juridiques pour mener une action contre l’entreprise délictueuse.
Qui doit appliquer le RGPD ?
Les organismes (entreprises, administrations) établis dans les Etats membres de l’Union européenne, s’occupant des données personnelles de leurs citoyens (collecte et traitement), sont concernés par la mise en conformité au RGPD.
Ce règlement s’applique à toutes les organisations indépendamment de leur taille et de l’activité qu’elles exercent, même si la collecte des données ne constitue pas leur métier principal. Il en est de même si c’est un autre organisme public ou privé qui les a mandatées pour réaliser cette quête.
Le respect du RGPD inclut la fiscalité microentreprise et ne se limite pas aux organismes implantés sur le territoire européen. Effectivement, les organisations hors de l’UE, mais dont l’activité consiste au collectage et traitement des données à caractère personnel sur les résidents européens, sont concernés par ce règlement.
Par ailleurs, cette activité peut aussi avoir trait à la fourniture de biens et services pour les États membres de l’Union européenne.
Comment fonctionne le RGPD ?
Pour une mise en conformité au RGPD, quelques démarches doivent obligatoirement être adoptées par les entreprises. Ainsi, elles ne doivent recueillir que les données nécessaires à leur entité mais avec l’aval de la personne concernée. Un triage de ces informations par le moyen d’un registre pour recenser les renseignements disponibles permet d’inspecter la conformité avec le RGPD.
Les personnes auprès desquelles les données sont recueillies doivent être bien informées sur la nature et l’objet de la collecte. L’usage des renseignements collectés doit être limité à un cadre bien défini et doté d’un suivi systématique.
En fonction du volume des données et de leur nature, les risques d’éventuelles fuites doivent être anticipés afin de sécuriser efficacement les informations.
En pratique, le registre des activités de traitement doit être disponible pour chaque organisme. Cet outil mentionne les différentes entités concernées ainsi que les classifications des données traitées. Par ailleurs, la destination de ces dernières, le délai de stockage et le caractère de sécurisation relié à ces informations sont à indiquer dans ce registre.
Pour la mise en conformité au RGPD du traitement des données, un délégué à la protection de ces dernières (Data Protection Officer ou DPO) doit faire partie de l’organisme. Il est tenu de se charger du recensement de toutes les informations. Par ailleurs, il s’occupe :
- De la formation du personnel sur le nouveau RGPD ;
- Et de la mise en place des outils et procédures y afférents.
La mise en conformité au RGPD concerne aussi les contrats existants au sein de l’organisme. Pour s’en assurer, le DPO doit faire la mise à jour de ces documents.
Quelles sont les sanctions prévues par le RGPD ?
Les entrepreneurs qui veulent créer une micro-entreprise, ainsi que les organismes publics ou privés sont soumis à l’obligation de la mise en conformité au RGPD. En cas de non-respect de leur obligation, ces entités sont passibles de sanctions sévères.
L’autorité qui contrôle le respect et l’application du RGPD est la Commission nationale de l’informatique et des libertés (CNIL). Cette dernière est en relation permanente avec le délégué à la protection des données (DPO) de l’organisme. Elle peut de plein droit infliger les sanctions à l’encontre de l’organisme fautif en cas de constat flagrant de la non-application du RGPD.
Les infractions par rapport au RGPD peuvent provenir d’une imprudence ou d’une négligence de la part de l’organisme. Ainsi, la CNIL intervient de façon graduelle pour la mise en application des sanctions et ceci selon l’importance de l’infraction commise.
Ces punitions débutent par un avertissement tout en rappelant la nécessité de l’application du RGPD dans le traitement des données. Par la suite, une injonction est adressée à l’organisme pour arrêter les infractions, avec quelquefois un ordre pour limiter ou interrompre temporairement l’activité.
Si l’ordonnance demeure ineffective, des sanctions administratives peuvent être imputées à l’organisme. À ces dernières s’ajoute un montant allant de 10 à 20 millions d’euros ou 2 à 4 % du chiffre d’affaires annuel mondial de l’organisme.
Face à la violation du RGPD dans le traitement des données les concernant, certaines personnes peuvent subir des atteintes matérielle et morale. Cette violation provient souvent d’une fuite d’informations.
Les personnes affectées par ces dommages peuvent faire l’objet d’un recours en justice à l’encontre de l’organisme, ce qui constitue pour lui une sanction additionnelle. Ces diverses peines ne peuvent que porter préjudice à l’image et la réputation de l’entreprise, entraînant forcément la perte de confiance de leurs partenaires.