Le Règlement Général sur la Protection des Données (RGPD) est le cadre juridique européen qui définit les règles relatives à la collecte et au traitement des données personnelles. Entré en vigueur en 2018, il renforce les droits des personnes et responsabilise davantage les entreprises.

C’est quoi la loi RGPD ?

Le RGPD est le règlement général adopté par l’Union européenne qui harmonise les législations en matière de protection des données à caractère personnel. Ce texte s’applique à toute entreprise, quelle que soit sa taille et son activité, dès lors qu’elle traite des données concernant des personnes physiques sur le territoire européen.

L’application de la loi RGPD vise ainsi à garantir la libre circulation des données tout en assurant un niveau élevé de protection de la vie privée des citoyens européens.

Quelles sont les obligations des entreprises face au RGPD ?

En tant que responsable du traitement des données des clients, votre entreprise doit mettre en œuvre des mesures techniques et organisationnelles appropriées pour assurer la conformité au RGPD. Cela implique notamment :

  • La tenue d’un registre des activités de traitement.
  • La mise en place de procédures pour répondre aux demandes d’exercice des droits.
  • L’obtention d’un consentement explicite via un acte positif clair (par exemple, une case à cocher sur votre site internet).
  • La notification des violations de données à la CNIL (Commission nationale de l’informatique et des libertés) dans les meilleurs délais (72h).
  • La réalisation d’analyses d’impact relative à la protection des données.

Par exemple, si vous collectez les adresses mails ou les numéros de téléphone de vos clients, vous devez les informer au moment de la collecte de la durée de conservation prévue.

Quels sont les fondements légaux de traitement de données ?

6 bases légales permettent de justifier le traitement de données à caractère personnel :

  1. Le consentement de la personne concernée.
  2. L’exécution d’un contrat.
  3. Le respect d’une obligation légale.
  4. La sauvegarde des intérêts vitaux.
  5. L’exécution d’une mission d’intérêt public.
  6. Les intérêts légitimes poursuivis par le responsable du traitement.

Pour les entreprises, l’exécution d’un contrat constitue souvent une base légale pertinente, comme dans le cas de la gestion de la relation client. La prévention de la fraude peut relever des intérêts légitimes.

Comment respecter les droits des personnes concernées ?

Le RGPD renforce les droits des personnes physiques sur leurs données :

  • Droit d’accès.
  • Droit de rectification.
  • Droit à l’effacement (droit à l’oubli).
  • Droit à la limitation du traitement.
  • Droit à la portabilité dans un format structuré.
  • Droit d’opposition.
  • Droit de ne pas faire l’objet d’une décision automatisée.

Votre entreprise doit prévoir des procédures pour répondre à ces demandes dans un délai d’un mois, et le cas échéant, justifier pourquoi une mesure nécessaire empêche de donner suite à la demande.

Quelle autorité assure la protection des données personnelles en France ?

Chaque État membre de l’UE dispose d’une autorité de contrôle indépendante – en France, la CNIL est l’autorité de contrôle compétente. Cette autorité peut :

  • Mener des contrôles.
  • Prononcer des sanctions pouvant atteindre 20 millions d’euros ou 4% du chiffre d’affaires mondial.
  • Approuver des codes de conduite sectoriels.
  • Coopérer avec les autres autorités européennes.

La Cour de justice de l’Union européenne peut également intervenir pour interpréter les dispositions nationales au regard du règlement général.

chevron_left Voir toutes les définitions