Le RGPD : Comprendre les fondamentaux du Règlement Général sur la Protection des Données

Depuis le 25 mai 2018, toute organisation, qu’elle soit publique, privée, associative est tenue de respecter le Règlement Général sur la Protection des Données (RGPD), texte européen encadrant la collecte, l’utilisation et la protection des données à caractère personnel. Signé en avril 2016, ce règlement est aujourd’hui la référence incontournable en matière de protection de la vie privée à l’ère numérique. 

Dans cet article, nous vous présentons les principaux concepts et obligations du RGPD. Nous aborderons la notion de donnée personnelle, le rôle du registre des traitements, les bases légales du traitement, la gestion des sous-traitants, les analyses d’impact (AIPD), les droits des personnes concernées, et la gestion des violations de données. 

Qu’est-ce que le RGPD et qui est concerné ?

Le RGPD (en anglais GDPR pour General Data Protection Regulation) s’applique à toute entité publique ou privée, entreprise, collectivité, association, structure de santé voire auto-entrepreneur qui traite des données personnelles de résidants européens. Il s’agit de données permettant d’identifier directement ou indirectement une personne physique : nom, prénom, adresse e-mail, numéro de sécurité sociale, adresse IP, etc... 

À noter que les activités purement personnelles ou domestiques (comme organiser une fête entre amis via un tableau Excel) ne relèvent pas du RGPD. En revanche, toute activité professionnelle ou associative utilisant des données personnelles y est soumise. 

Données personnelles et données sensibles : quelles différences ?

Le RGPD distingue deux grandes catégories de données : 

• Les données personnelles qui permettent d’identifier une personne directement (nom, prénom, photo) ou indirectement (adresse IP, numéro de téléphone, numéro de sécurité sociale). 
• Les données sensibles, identifiées au sens du RGPD comme touchant à la santé (ex. : une prescription médicale), à la vie ou l’orientation sexuelle, aux opinions politiques, syndicales, philosophiques ou religieuses, à l'origine raciale ou ethnique, aux données biométriques ou génétiques, au casier judiciaire ou aux infractions. 

Le traitement de ces données sensibles exige une vigilance particulière et, dans la plupart des cas, un niveau de protection renforcé et des bases légales strictes. 

Il est important de préciser que d’une part le RGPD encadre le traitement des données sous format numérique (ex : logiciel SaaS ou base de données) et en format papier (ex : classeur ou agenda) et que d’autre part les données utilisées dans la sphère professionnelle peuvent être des données personnelles (ex : un email de type prénom. nom, un matricule salarié, des heures de badges). 

Ne sont pas considérées comme des données personnelles, les données relatives aux organismes (ex : raison sociale, numéro de SIRET, numéro de TV intracommunautaire).

Le registre des traitements : une obligation centrale

Au cœur du RGPD se trouve le registre des traitements, imposé par l’article 30 du règlement. C’est un document de référence qui recense toutes les opérations de traitement de données réalisées par un organisme. Un traitement (ou activité de traitement) est une action systématique menée sur des données : collecte, stockage, transmission, suppression, etc. On peut citer par exemple, la gestion des fournisseurs, la gestion des inscriptions à une crèche ou encore la gestion des incidents (volet santé, sécurité au travail). 

Ce registre permet de décrire les traitements effectués, de justifier leur existence et d’identifier les personnes responsables. Pour chaque activité, il faut préciser :

• Les acteurs qui interviennent sur le traitement,
• La finalité c’est-à-dire l’objectif du traitement, 
• Les catégories de données collectées (données d’identification, données économique ou financières, etc.), 
• Les personnes concernées (patients, salariés, clients, etc.),
• Les durées de conservation des données, 
• Les éventuels sous-traitants, 
• Les mesures de sécurité mises en place pour protéger les données ; 
• Les bases légales.

Ce registre sert également de preuve de conformité en cas de contrôle de la CNIL (la Commission nationale de l'informatique et des libertés). 

Qui doit le tenir à jour ?

Les registres de traitement doivent être tenu à jour par :

• Le responsable de traitement (l’organisme qui met en œuvre les traitements) conformément à l’article 30.1. 
• Le sous-traitant (prestataire qui traite les données pour le compte et sur instruction d’un autre organisme) conformément à l’article 30.2 du RGPD. 

Les bases légales du traitement : Sur quoi repose le traitement de données ?

Tout traitement de donnée personnelle doit reposer sur l’une des six bases légales prévues par le RGPD : 

• Le consentement : Il doit être libre, éclairé, spécifique et univoque. 

Attention : Une case pré-cochée ne constitue pas un consentement valide. 

• L’obligation légale : Certains traitements sont imposés par la loi comme la déclaration sociale nominative des salariés par exemple. 
• L’exécution d’un contrat : Ici, on parle par exemple du traitement de l’adresse postale d’un client dans le cadre de la livraison d’un achat en ligne.
• La sauvegarde des intérêts vitaux : Par exemple, une urgence médicale où il faut accéder aux données de santé d’une personne inconsciente. 
• La mission d’intérêt public comme les traitements opérés par les collectivités territoriales (état civil, inscriptions scolaires). 
• L’intérêt légitime de l’organisme comme l’envoi d’une newsletter à des clients existants. 

Ce fondement doit être équilibré : il ne doit pas porter atteinte aux droits et libertés des personnes concernées.

Le rôle du DPO (Délégué à la Protection des Données)

Le DPO (Data Protection Officer) est le chef d’orchestre de la conformité RGPD dans une organisation. Il peut être interne (salarié désigné), externe (prestataire spécialisé) et mutualisé (pour plusieurs entités d’un même groupe). 

Ses missions incluent notamment l’information et le conseil, la surveillance du respect du RGPD, la gestion des droits des personnes, le lien avec la CNIL. 

Le nom et les coordonnées du DPO doivent être connus et facilement accessibles, notamment en cas de contrôle.

Sous-traitance et RGPD : obligations spécifiques

Lorsqu’un organisme confie à un tiers le traitement des données (hébergement d’un logiciel, infogérance informatique, etc.), un contrat de sous-traitance RGPD doit être mis en place conformément à l’article 28.3 du RGPD. Ce contrat doit définir, entre autres : 

• Les finalités du traitement, 
• Les mesures de sécurité des données, 
• Les conditions d’accès et de restitution des données. 

De plus, il est essentiel d’établir une cartographie des sous-traitants RGPD et de vérifier régulièrement leur conformité. 

Droits des personnes concernées : un droit au respect

Le RGPD renforce les droits des citoyens européens. Toute personne dont les données sont traitées dispose des droits suivants : 

• Droit à l’information afin de savoir si ses données sont traitées. 
• Droit d’accès afin obtenir une copie des données traitées. 
• Droit de rectification pour corriger une éventuelle erreur. 
• Droit à l’effacement (oubli) afin de garantir la suppression des données sous conditions. 
• Droit à la limitation du traitement gelant ainsi temporairement un traitement. 
• Droit d’opposition permettant de refuser un traitement dans certains cas. 
• Droit à la portabilité permettant de transférer ses données vers un autre service. 

L’organisation dispose de 30 jours pour répondre à une demande. Ce délai peut être prolongé de 60 jours en cas de complexité ou de volume élevé de demandes, à condition d’en informer la personne concernée dans un délai de 30 jours également. 

Violations de données : que faire en cas d’incident ?

Une violation de données se produit lorsqu’il y a : 

• Perte de confidentialité, par exemple une fuite de données, 
• Altération des données, comme une corruption de fichiers, 
• Indisponibilité des données comme lors de panne ou de piratage informatique. 

La perte d’un ordinateur portable contenant des informations personnelles non chiffrées est un exemple de violation de données.

En cas de violation des données, il est alors obligatoire de prévenir la CNIL sous 72 heures (art 33 du RGPD). 

Le RGPD encadre avec rigueur la manière dont les entités collectent, utilisent, sécurisent et partagent ces données, dans un contexte où la protection de la vie privée est devenue une exigence citoyenne et sociétale. En adoptant une démarche proactive de conformité à travers la tenue du registre des traitements, la désignation d’un DPO, l’encadrement des sous-traitants, la réalisation d’analyses d’impact ou encore la gestion des droits des personnes — les organismes renforcent non seulement la confiance de leurs clients et partenaires, mais aussi leur propre résilience face aux risques juridiques, financiers et réputationnels liés aux violations de données.