Qu'est-ce que le Règlement général sur la protection des données (RGPD) ?

Le Règlement général sur la protection des données (RGPD) est une loi complète sur la protection des données adoptée par l'Union européenne (UE).

Objectifs d’apprentissage

Cet article s'articule autour des points suivants :

  • Expliquer les principales exigences du Règlement général sur la protection des données (RGPD)
  • Décrire les droits dont disposent les personnes en vertu du RGPD
  • Comprendre l'importance du RGPD pour la confidentialité des données

Contenu associé


Vous souhaitez continuer à enrichir vos connaissances ?

Abonnez-vous à theNET, le récapitulatif mensuel de Cloudflare des idées les plus populaires concernant Internet !

Consultez la politique de confidentialité de Cloudflare pour en savoir plus sur la manière dont nous collectons et traitons vos données personnelles.

Copier le lien de l'article

Qu'est-ce que le Règlement général sur la protection des données (RGPD) ?

Le Règlement général sur la protection des données (RGPD), qui est entré en vigueur le 25 mai 2018, est une loi complète sur la confidentialité des données qui établit un cadre pour la collecte, le traitement, le stockage et le transfert des données personnelles. Elle exige que toutes les données personnelles soient traitées de manière sécurisée, et prévoit des amendes et des sanctions pour les entreprises qui ne se conforment pas à ces exigences. Elle confère également aux individus un certain nombre de droits concernant leurs données personnelles.

À mesure que la technologie progresse et que la collecte de données devient plus fréquente, la confidentialité des données a été placée sous les feux de la rampe. Au moment de son adoption, le RGPD était la réglementation la plus complète en matière de confidentialité des données. Il a harmonisé des réglementations distinctes en matière de protection des données dans toute l'Union européenne (UE). Il a également étendu la portée de ces règlements pour qu'ils s'appliquent aux organisations non européennes si elles traitent des données personnelles collectées dans l'UE.

Le RGPD s'applique à toute entreprise ou organisation, quelle que soit sa situation géographique, si elle offre des biens et des services à des personnes de l'UE ou surveille leur comportement au sein de l'UE.

Comment le RGPD définit-il les « données personnelles » ?

Le RGPD a élargi la portée de ce qui était considéré comme des données personnelles pour inclure toute information relative à une personne physique identifiable. Cela inclut les détails qui sont manifestement personnels, tels que le nom et l'adresse d'une personne, mais aussi toute autre information qui pourrait être utilisée pour identifier une personne, notamment son adresse IP et certains identifiants de cookies associés à une session de navigation sur le Web.

Quelles sont les exigences du RGPD pour les contrôleur de données et les responsable du traitement des données ?

Le RGPD définit les contrôleurs de données comme des entités qui prennent des décisions sur les moyens et les objectifs pour lesquels les données personnelles sont collectées et traitées, et il définit les responsable du traitement des données comme des entités qui traitent les données personnelles, généralement pour le compte d'un contrôleur de données.

Le RGPD énonce également sept principes clés sur la manière dont les contrôleurs et les processeurs de données doivent traiter les données personnelles :

  • Légalité, équité et transparence
  • Limitation de l'objet
  • Minimisation des données
  • Précision
  • Limitation du stockage
  • Intégrité et confidentialité (sécurité)
  • Responsabilité

En plus de décrire ces principes en détail, le RGPD exige plusieurs actions spécifiques que les contrôleurs et les processeurs de données doivent prendre. En voici quelques-unes :

  • Tenue de registres : les responsables du traitement des données doivent tenir des registres de leurs activités de traitement.
  • Mesures de sécurité : les contrôleurs de données et les sous-traitants doivent régulièrement utiliser et tester des mesures de sécurité appropriées pour protéger les données qu'ils collectent et traitent.
  • Notification de la violation des données : les contrôleurs de données qui subissent une violation des données personnelles doivent en informer les autorités compétentes dans un délai de 72 heures, avec quelques exceptions. En général, ils doivent également informer les personnes dont les données personnelles ont été affectées par la violation.
  • Délégué à la protection des données (DPD) : Les entreprises qui traitent des données peuvent avoir besoin d'engager un délégué à la protection des données (DPD). Le DPD dirige et supervise tous les efforts de mise en conformité avec le RGPD.

Les exigences complètes pour les contrôleurs de données et les processeurs de données sont décrites dans le RGPD.

Quels sont les droits des personnes concernées par le RGPD ?

Le RGPD définit une personne concernée comme « une personne physique identifiée ou identifiable ». Les personnes concernées disposent des droits suivants :

  • Droit d'être informé : les personnes concernées doivent recevoir des informations faciles à comprendre sur la manière dont leurs données personnelles sont collectées et traitées.
  • Droit à la portabilité des données : les personnes concernées peuvent transférer leurs données d'un contrôleur de données à un autre.
  • Droit d'accès : les personnes concernées ont le droit d'obtenir une copie des données personnelles collectées
  • Droit de rectification : les personnes concernées peuvent rectifier les données inexactes les concernant
  • Droit à l'effacement : les personnes concernées peuvent demander l'effacement de leurs données (également appelé droit à l'oubli)
  • Droit de limiter le traitement : dans certaines circonstances, les personnes concernées peuvent limiter la manière dont leurs données personnelles sont traitées
  • Droit d'opposition : les personnes concernées ont le droit de s'opposer au traitement de leurs données personnelles et, dans certaines circonstances, le contrôleur de données ou le responsable du traitement des données sera obligé de se conformer à l'opposition de la personne concernée
  • Droit d'opposition au traitement automatisé : les personnes concernées peuvent s'opposer à une décision qui les concerne juridiquement et qui est fondée uniquement sur un traitement automatisé des données

Quelles sont les sanctions en cas de violation du RGPD ?

Le RGPD décrit les amendes qui doivent être imposées aux entreprises qui enfreignent ses politiques.

Le RGPD prévoit deux niveaux d'amendes, chaque niveau correspondant à une catégorie différente de violation :

  • Premier niveau : une violation entraîne une amende maximale de 10 millions d'euros ou de 2 % du revenu annuel mondial de l'entreprise, le montant le plus élevé étant retenu.
  • Deuxième niveau : une violation entraîne une amende maximale de 20 millions d'euros ou de 4 % du revenu annuel mondial de l'entreprise, le montant le plus élevé étant retenu.

En plus de ces amendes, les personnes concernées peuvent demander des dommages et intérêts lorsqu'une entreprise viole le RGPD.

Cloudflare et la confidentialité des données

Cloudflare s'est donné pour mission de contribuer à bâtir un Internet meilleur, et la confidentialité des données constitue un élément fondamental de cette mission. Cloudflare opte pour l'intégration fondamentale de la confidentialité (« privacy by design ») lors du développement de ses produits, et a déployé un certain nombre de services visant à renforcer la confidentialité des utilisateurs (parmi lesquels Cloudflare Data Localization Suite). Cloudflare a également obtenu la validation de la confidentialité au regard du Code de conduite de l'UE, le premier code de conduite lié au RGPD officiellement reconnu par l'UE. Apprenez-en davantage sur Cloudflare et le RGPD.