Qu'est-ce que le RGPD et qui est concerné ?
Le Règlement Général sur la Protection des Données (RGPD), en vigueur depuis mai 2018, s'applique à toute organisation qui collecte, traite ou stocke des données personnelles de résidents européens — quelle que soit sa taille ou sa localisation géographique. Si vous avez des clients en Europe, vous êtes concerné.
Les données personnelles au sens du RGPD incluent : noms, adresses email, numéros de téléphone, adresses IP, données de localisation, cookies d'identification, et bien d'autres informations permettant d'identifier directement ou indirectement une personne.
Les 6 principes fondamentaux du RGPD
- Licéité, loyauté, transparence : le traitement doit reposer sur une base légale et l'utilisateur doit être informé
- Limitation des finalités : les données ne peuvent être utilisées qu'aux fins pour lesquelles elles ont été collectées
- Minimisation des données : ne collecter que ce qui est strictement nécessaire
- Exactitude : maintenir les données à jour et permettre leur correction
- Limitation de conservation : ne pas conserver les données au-delà de la durée nécessaire
- Intégrité et confidentialité : protéger les données contre les accès non autorisés et les pertes
Les 8 droits des personnes concernées
Vos clients et utilisateurs disposent de droits que vous devez être capable d'honorer dans des délais précis (généralement 30 jours) :
- Droit d'accès : obtenir une copie de leurs données
- Droit de rectification : faire corriger des données inexactes
- Droit à l'effacement ("droit à l'oubli") : faire supprimer leurs données
- Droit à la portabilité : recevoir leurs données dans un format réutilisable
- Droit d'opposition : s'opposer à certains traitements
- Droit à la limitation du traitement : suspendre temporairement un traitement
- Droit d'information : être informé de la collecte et du traitement
- Droits liés aux décisions automatisées : ne pas être soumis à une décision uniquement automatisée
Les obligations opérationnelles clés
Le Registre des Activités de Traitement (RAT)
Toute organisation de plus de 250 salariés (et les plus petites traitant des données sensibles) doit tenir un registre documentant tous ses traitements de données : finalité, catégories de données, durée de conservation, mesures de sécurité, etc.
La désignation d'un DPO
Certaines organisations ont l'obligation de nommer un Délégué à la Protection des Données (DPO) : organismes publics, entreprises traitant des données à grande échelle, et celles traitant des catégories particulières de données (santé, opinions politiques, etc.). Le DPO peut être interne ou externalisé.
La notification des violations de données
En cas de violation de données personnelles, vous avez 72 heures pour notifier la CNIL (en France). Si la violation présente un risque élevé pour les personnes concernées, vous devez également les informer directement.
Les sanctions encourues
| Type d'infraction | Amende maximale |
|---|---|
| Manquements mineurs (information, consentement) | 10 millions € ou 2% du CA mondial |
| Violations majeures (principes fondamentaux, droits) | 20 millions € ou 4% du CA mondial |
Par où commencer votre mise en conformité ?
- Cartographier vos traitements de données existants
- Identifier vos bases légales pour chaque traitement
- Mettre à jour vos politiques de confidentialité et CGU
- Créer ou mettre à jour votre registre des traitements
- Implémenter les mécanismes techniques pour honorer les droits des personnes
- Former vos équipes aux enjeux de la protection des données