Definition

Règlement général sur la protection des données (RGPD)

Le Règlement général sur la protection des données (RGPD ou GDPR en anglais) est un texte législatif qui vient moderniser et homogénéiser la législation sur la protection des données des pays de l'Union européenne. Voté le 14 avril 2016 par le Parlement européen, promulgué le 27 avril 2016, il entre en vigueur le 25 mai 2018.

Le RGPD remplace la directive de l'Union européenne sur la protection des données de 1995. Le nouveau règlement s'attache à rendre les entreprises plus transparentes et à étendre le respect de la vie privée des personnes concernées. Selon ce règlement, quand elle découvre une atteinte grave aux données, l'entreprise doit en informer toutes les personnes touchées et l'autorité de contrôle dans les 72 heures. Les obligations du Règlement général sur la protection des données s'appliquent à toutes les données produites par des citoyens de l'UE, que l'entreprise collectrice se trouve ou non dans l'UE, ainsi qu'à toute personne, citoyenne de l'UE ou non, dont les données sont stockées dans l'UE.

Selon le RGPD, pour traiter légalement des données à caractère personnel, une entreprise doit satisfaire au moins à une des six conditions suivantes.

  1. Consentement explicite de la personne concernée.
  2. Le traitement est nécessaire à l'exécution d'un contrat avec la personne concernée ou s'il conditionne l'établissement d'un contrat.
  3. Le traitement est nécessaire pour se conformer à une obligation légale.
  4. Le traitement est nécessaire à la sauvegarde des intérêts vitaux d'une personne concernée ou d'une autre personne.
  5. Le traitement est nécessaire à l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité officielle dont est investi le responsable du traitement.
  6. Le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée.

De plus, les entreprises qui effectuent à grande échelle des traitements ou un suivi de données personnelles doivent désigner un Délégué à la protection des données (DPO, Data Protection Officer). Visage de la gouvernance des données, le DPO s'assure du respect du RGPD au sein de l'entreprise. Une entreprise qui ne respecterait pas le règlement lors de son entrée en vigueur s'exposerait à des amendes pouvant aller jusqu'à 20 millions d'euros ou 4 pour cent de son chiffre d'affaires annuel mondial.

Le Règlement général sur la protection des données reconnaît notamment :

Le droit à l'oubli : les personnes concernées peuvent demander la suppression des données à caractère personnel détenues par une entreprise. Celle-ci a le droit de refuser les demandes à condition de motiver son refus juridiquement.

Le droit d'accès : les personnes concernées peuvent consulter les données stockées à leur sujet.

Le droit d'opposition : les personnes concernées peuvent interdire à une entreprise d'utiliser ou de traiter leurs données personnelles. L'entreprise peut passer outre ce refus si le traitement des données personnelles entre dans le cadre d'une des dérogations légales, mais doit en informer la personne et en expliquer la logique.

Le droit de rectification : les personnes concernées peuvent demander la correction de données personnelles erronées.

Le droit à la portabilité : les personnes concernées peuvent accéder aux données personnelles qu'une entreprise détient à leur sujet et les transférer.

Certaines inquiétudes émergent quant à la sortie du Royaume-Uni de l'UE et ses éventuels effets sur la conformité du pays avec le RGPD. A la date de rédaction de cet article, le projet de loi britannique sur la protection des données, le « Data Protection Bill 2017 », devrait actualiser le texte précédent de 1998 « Data Protection Act 1998 ». Quoi qu'il en soit, les entreprises britanniques ont souvent des liens commerciaux avec des clients ou des entités situés dans les pays membres de l'UE : elles devront donc se conformer au Règlement général sur la protection des données, soit directement, soit par un dispositif d'adéquation approuvé par les autorités européennes.

Cette définition a été mise à jour en septembre 2019

Pour approfondir sur Gestion de la sécurité (SIEM, SOAR, SOC)