<aside> ⏳ En résumé. Depuis mai 2018, le RGPD s’applique à toute organisation, publique ou privée, qui traite des données personnelles pour son compte ou non, dès lors qu'elle est établie sur le territoire de l'Union Européenne ou que son activité cible directement des résidents européens. Le traitement de données personnelles est une opération, ou ensemble d'opérations, portant sur des données personnelles, quel que soit le procédé utilisé. Il doit avoir un objectif, une finalité, c’est-à-dire que vous ne pouvez pas collecter ou traiter des données personnelles simplement au cas où cela vous serait utile un jour. Il n’est pas nécessairement informatisé.
</aside>
<aside> 🎯 Objectifs. C'est l'objet de cette fiche qui vous propose d'explorer vos obligations et vous indiquer comment procéder pour vous mettre en conformité en vous outillant avec des méthodes et des exemples concrets.
</aside>
Le sigle RGPD signifie «Règlement Général sur la Protection des Données» (en anglais « General Data Protection Regulation » ou GDPR). Le RGPD encadre le traitement des données personnelles sur le territoire de l’Union européenne.
Toutes les entreprises collectent des données : noms, adresses, coordonnées diverses, dates de naissances, etc... et cela concerne à la fois les données sur les salariés lorsqu'il y en a mais aussi les données des clients et fournisseurs, de toute personne en lien direct avec elle.
Depuis mai 2018, le RGPD s’applique à toute organisation, publique ou privée, qui traite des données personnelles pour son compte ou non, dès lors qu'elle est établie sur le territoire de l'Union Européenne ou que son activité cible directement des résidents européens. En cas de non respect du règlement, le montant des sanctions pécuniaires peut être très élevé (10 à 20 millions d'euros ou 4% du CA annuel mondial de la structure). Mais avant d'octroyer une amende, l’autorité de contrôle prend en compte de nombreux critères, comme la gravité et la durée de la violation, les mesures prises pour atténuer le dommage subi par les personnes concernées, le degré de coopération, etc. Donc pas de panique, mais il est indispensable de vous pencher sur la question et le cas échéant vous mettre en conformité.
Une « donnée personnelle » est « toute information se rapportant à une personne physique identifiée ou identifiable ».
Une personne peut être identifiée directement (son nom, son prénom) ou indirectement (un identifiant client, un numéro de téléphone, une donnée biométrique, plusieurs éléments spécifiques à son identité physique, physiologique, économique, culturelle, sociale, mais aussi la voix ou l'image).
L’identification d’une personne physique peut être réalisée à partir d’une seule donnée (exemple : numéro de sécurité sociale, ADN) ou à partir du croisement d’un ensemble de données (exemple : une femme vivant à telle adresse, née tel jour, abonnée à tel magazine et militant dans telle association)