Reglement general sur la protection des donnees (UE) 2016/679
Direct answer
Le RGPD (Reglement general sur la protection des donnees, Reglement (UE) 2016/679) est la loi europeenne sur la protection des donnees, en vigueur depuis le 25 mai 2018. Il regit le traitement des donnees personnelles des personnes dans l'UE et l'Espace economique europeen, et s'applique a toute organisation qui traite ces donnees, y compris les organisations hors UE qui proposent des biens ou services a des personnes dans l'UE ou qui surveillent leur comportement. Il fixe des principes pour un traitement licite, des droits pour les individus, des obligations pour les responsables et sous-traitants, des regles pour les transferts hors UE, et des amendes pouvant atteindre 20 millions d'euros ou 4 % du chiffre d'affaires mondial annuel.
Le RGPD s'applique au traitement des donnees a caractere personnel: toute information se rapportant a une personne physique identifiee ou identifiable vivante. Il oblige deux roles: le responsable du traitement, qui determine les finalites et moyens du traitement, et le sous-traitant, qui traite les donnees pour le compte du responsable.
Sa portee territoriale est large. Le RGPD s'applique aux organisations etablies dans l'UE independamment du lieu ou se deroule le traitement, et aux organisations hors UE qui proposent des biens ou services a des personnes dans l'UE ou qui surveillent leur comportement. Une organisation n'a pas besoin d'un bureau dans l'UE pour entrer dans son champ d'application.
Le reglement ne couvre que les personnes physiques. Il ne protege pas les donnees relatives aux personnes morales telles que les entreprises.
La conformite au RGPD repose sur sept principes enonces a l'Article 5. Chaque autre obligation du reglement est une facon de donner effet a l'un ou plusieurs d'entre eux.
Le principe de responsabilite est la raison pour laquelle le RGPD est, en pratique, un regime documentaire. Il ne suffit pas de se conformer -- il faut pouvoir le prouver.
Chaque activite de traitement necessite une base juridique au titre de l'Article 6. Il en existe six: le consentement, l'execution d'un contrat, le respect d'une obligation legale, la protection des interets vitaux, l'execution d'une mission d'interet public ou relevant de l'exercice de l'autorite publique, et les interets legitimes. Les interets legitimes necessitent un test de mise en balance (analyse des interets legitimes) pesant les interets du responsable face aux droits et libertes de la personne.
Le consentement doit etre libre, specifique, eclaire et univoque. Les cases pre-cochees et le consentement groupe ne sont pas valables. Le traitement de donnees de categories speciales -- y compris les donnees de sante, biometriques, d'origine raciale ou ethnique, d'opinions politiques, de croyances religieuses, genetiques, d'appartenance syndicale, de vie sexuelle et d'orientation sexuelle -- est interdit sauf si l'une des conditions supplementaires de l'Article 9 est remplie.
| Base juridique | Quand elle s'applique | Exigence cle |
|---|---|---|
| Consentement | La personne a donne son accord clair a la finalite specifique | Doit etre libre, specifique, eclaire et univoque; retirable a tout moment |
| Contrat | Le traitement est necessaire pour executer un contrat avec la personne ou prendre des mesures precontractuelles a sa demande | Doit etre genuinement necessaire -- pas simplement pratique |
| Obligation legale | Le traitement est necessaire pour respecter une obligation legale en droit de l'UE ou d'un Etat membre | L'obligation legale doit etre suffisamment claire et precise |
| Interets vitaux | Le traitement est necessaire pour proteger la vie de quelqu'un, sans possibilite de consentement | Base etroite; utiliser uniquement en l'absence d'autre base applicable |
| Mission d'interet public | Le traitement est necessaire pour une mission d'interet public ou l'exercice de l'autorite publique | Principalement pour les organismes publics; doit avoir une base legale claire |
| Interets legitimes | Le traitement est necessaire aux interets legitimes du responsable ou d'un tiers, sauf si les droits de la personne prevalment | Necessite une analyse des interets legitimes (AIL); non disponible pour les autorites publiques dans l'exercice de leurs fonctions |
Le RGPD confere aux individus des droits executoires sur leurs donnees personnelles. Lorsqu'une personne exerce un droit, l'organisation doit repondre sans delai excessif et dans un delai d'un mois a compter de la reception. Ce delai peut etre prolonge de deux mois supplementaires lorsque la demande est complexe ou nombreuse, a condition que la personne soit informee de la prolongation et de ses raisons dans le premier mois.
Les droits sont:
Les principes et droits ci-dessus decrivent ce qui doit etre vrai. Les obligations suivantes definissent ce que les organisations doivent faire et maintenir pour y parvenir en pratique.
| Obligation | Article | Ce que cela implique en pratique |
|---|---|---|
| Registre des activites de traitement (RAT) | Article 30 | Les responsables et sous-traitants doivent tenir un registre de leurs activites de traitement couvrant: les finalites, les categories de personnes concernees et de donnees personnelles, les destinataires, les transferts vers des pays tiers, les durees de conservation et les mesures de securite. Il s'agit generalement du premier document demande par une autorite de controle. |
| Analyses d'impact (AIPD) | Article 35 | Une AIPD est requise lorsque le traitement est susceptible d'engendrer un risque eleve pour les droits et libertes des personnes, avant le debut du traitement. Les lignes directrices du CEPD (WP248) listent neuf criteres; en remplir deux ou plus indique generalement qu'une AIPD est necessaire. Lorsqu'une AIPD revele un risque residuel eleve, l'autorite de controle doit etre consultee avant le debut du traitement (Article 36). |
| Accords de traitement des donnees (ATD) | Article 28 | Lorsqu'un responsable fait appel a un sous-traitant, un contrat ecrit doit regir la relation, couvrant: l'objet et la duree du traitement, la nature et la finalite, le type de donnees, les obligations et droits du responsable, et des clauses specifiques sur la confidentialite, la securite, les sous-traitants ulterieurs, l'assistance pour les droits et les violations, la suppression ou le retour des donnees, et les droits d'audit. |
| Notification de violation de donnees | Articles 33 et 34 | Un responsable doit notifier l'autorite de controle competente d'une violation de donnees personnelles dans les 72 heures suivant sa prise de connaissance, sauf si la violation est peu susceptible d'engendrer un risque pour les droits et libertes des personnes. Lorsque la violation est susceptible d'engendrer un risque eleve, les personnes concernees doivent egalement etre notifiees sans delai excessif. |
| Transferts internationaux | Chapitre V (Articles 44 a 49) | Les donnees personnelles ne peuvent etre transferees hors de l'UE ou de l'EEE que si un niveau adequat de protection est garanti: decision d'adequation de la Commission europeenne, garanties appropriees (clauses contractuelles types ou regles d'entreprise contraignantes), ou derogations specifiques. Suite a l'arret Schrems II, les transferts sous clauses contractuelles peuvent necessiter une analyse d'impact des transferts (AIT). L'accord-cadre UE-Etats-Unis sur la protection des donnees (DPF), adopte en juillet 2023, fournit une decision d'adequation pour les organisations americaines certifiees. |
| Delegue a la protection des donnees (DPD) | Articles 37 a 39 | Un DPD doit etre designe lorsque l'organisation est un organisme public, effectue un suivi systematique a grande echelle des personnes comme activite principale, ou traite des donnees de categories speciales a grande echelle. Le DPD conseille sur la conformite au RGPD, coopere avec l'autorite de controle et constitue le point de contact pour les personnes concernees et l'autorite. |
Le RGPD prevoit deux niveaux d'amende administrative, appliques par les autorites de controle en tenant compte de la nature, de la gravite et de la duree de l'infraction.
Le niveau inferieur atteint 10 millions d'euros ou 2 % du chiffre d'affaires mondial annuel total, selon le montant le plus eleve, pour les manquements aux obligations des responsables et sous-traitants, y compris les obligations liees au DPD, la protection des donnees des la conception, le RAT, les exigences relatives aux sous-traitants, et les obligations de notification de violation.
Le niveau superieur atteint 20 millions d'euros ou 4 % du chiffre d'affaires mondial annuel total, selon le montant le plus eleve, pour les manquements aux principes de base, aux conditions de consentement, aux droits des personnes concernees, aux regles de transfert international, et a la non-conformite avec une injonction de l'autorite de controle.
Les amendes administratives ne sont pas le seul recours disponible. Les autorites de controle peuvent egalement emettre des avertissements et des reprimandes, imposer une limitation temporaire ou permanente du traitement, et ordonner la rectification ou l'effacement des donnees.
| Niveau | Amende maximale | Infractions applicables |
|---|---|---|
| Niveau inferieur | 10 000 000 EUR ou 2 % du CA mondial annuel total, selon le montant le plus eleve | Obligations des responsables et sous-traitants (Articles 8, 11, 25 a 39, 42, 43); notification de violation (Articles 33 et 34) |
| Niveau superieur | 20 000 000 EUR ou 4 % du CA mondial annuel total, selon le montant le plus eleve | Principes de base incluant les bases juridiques (Articles 5, 6, 7, 9); droits des personnes concernees (Articles 12 a 22); regles de transfert international (Articles 44 a 49); non-conformite avec une injonction de l'autorite de controle |
De nombreuses organisations sont soumises a plusieurs lois sur la protection des donnees simultanement. Gerer ces regimes en parallele sans maintenir des enregistrements en double est le defi pratique.
Le RGPD britannique reprend largement le RGPD europeen apres le Brexit. Il est integre dans le droit interne par le Data Protection Act 2018, avec l'Information Commissioner's Office (ICO) comme autorite de controle. Les exigences substantielles s'alignent etroitement, mais le Royaume-Uni est une juridiction distincte avec ses propres decisions d'adequation et mecanismes de transfert.
La Loi federale suisse sur la protection des donnees (LPD), revisee en septembre 2020 et en vigueur depuis le 1er septembre 2023, s'aligne substantiellement sur le RGPD mais differe sur des points importants. Apres la revision, la LPD suisse protege uniquement les personnes physiques et ne traite plus les donnees sur les personnes morales comme des donnees personnelles. La Suisse n'est pas un Etat membre de l'UE, et la LPD n'est pas identique au RGPD.
Le defi pratique consiste a gouverner la meme activite de traitement sous plusieurs cadres reglementaires avec leurs propres bases juridiques et cycles de revue, sans maintenir des enregistrements en double qui divergent.
Les obligations ci-dessus decrivent ce qui doit etre vrai. En pratique, les respecter implique de maintenir un RAT a jour, de conduire des AIPD, des evaluations de sous-traitants et des analyses d'impact des transferts sur les bonnes activites, de traiter les demandes de droits dans le delai d'un mois, et d'etre en mesure de perimetre une violation dans les 72 heures, tout en restant a jour au fur et a mesure que les traitements evoluent.
Le module Confidentialite des donnees d'Acuna operationnalise ces obligations dans un flux de travail connecte: activites de traitement enregistrees avec leurs personnes concernees, actifs, sous-traitants et bases juridiques; AIPD, ATD et analyses de transferts etablis a partir de ce contexte partage; demandes de droits traitees via une interface dediee avec le suivi du delai d'un mois; et impact des violations trace sur les enregistrements connectes. Parce qu'Acuna couvre 50+ referentiels sur un seul coeur, la meme activite de traitement peut porter les obligations du RGPD, de la LPD suisse et du RGPD britannique avec des bases juridiques independantes. Pour l'obligation de sous-traitance de l'Article 28, la gestion du risque prestataire ajoute des campagnes d'evaluation structurees, le suivi des ATD rediges et la surveillance continue de la securite de votre chaine de sous-traitance, sur le meme dossier.
Voir le RGPD pour votre organisation pour savoir comment cela s'applique a une equipe et un programme specifiques.
EXPLORE
Ce qu'est le RAT, ce que l'Article 30 exige qu'il contienne, qui doit le tenir, et comment le structurer pour un controle par l'autorite de surveillance.
Les neuf criteres du CEPD qui indiquent qu'une AIPD est requise, le declencheur de consultation prealable, et comment conduire une AIPD en pratique.
Quand le delai commence, ce que la notification a l'autorite de controle doit contenir, et quand les personnes concernees doivent egalement etre informees.
Le delai de reponse d'un mois au titre de l'Article 12(3), la prolongation de deux mois, et comment traiter les demandes complexes ou manifestement infondees.
Les clauses requises dans tout contrat de sous-traitant: objet, instructions, confidentialite, securite, sous-traitants ulterieurs, assistance et droits d'audit.
Pourquoi les AIT sont necessaires pour les transferts sous clauses contractuelles types, ce qu'elles doivent evaluer, et comment l'accord-cadre DPF change la situation.
Réponses associées
Une Analyse d’impact relative à la protection des données (AIPD) est requise en vertu de l’article 35 du RGPD lorsque le traitement est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes. Cela inclut le profilage systématique avec des effets juridiques, le traitement à grande échelle de catégories particulières de données et la surveillance systématique d’espaces publics. Une AIPD doit décrire le traitement, évaluer la nécessité et la proportionnalité, identifier les risques et définir les mesures d’atténuation. Si le risque résiduel reste élevé après atténuation, le responsable du traitement doit consulter l’autorité de contrôle en vertu de l’article 36. Les workflows AIPD figurent sur la feuille de route du module Protection des données d’Acuna ; actuellement, les activités de traitement peuvent être documentées et reliées aux contrôles et aux actifs pour préparer les AIPD.
Le module Protection des données fournit un registre de confidentialité opérationnel centré sur les activités de traitement (registre article 30 du RGPD). Un assistant guidé en 7 étapes couvre la finalité, la base juridique, les personnes concernées, les catégories de données, la conservation et les transferts, avec un flux de travail en quatre états (Brouillon, En revue, Approuvé, À mettre à jour). Les activités sont reliées aux actifs via un inventaire de données avec des grilles de données personnelles, aux tiers avec le statut de l’accord de traitement des données (ATD) et le suivi des pays de transfert, et aux référentiels (RGPD et LPD suisse préconfigurés). Un diagramme de flux de données interactif visualise la circulation des données personnelles au sein de l’organisation. Un tableau de bord de confidentialité affiche la distribution des statuts des activités de traitement, la couverture de l’inventaire, la complétude des ATD et les affectations de référentiels. Le module prend également en charge la migration structurée depuis OneTrust.
RGPD CONFIDENTIALITE DES DONNEES
Le module Confidentialite des donnees d'Acuna connecte les activites de traitement, les bases juridiques, les AIPD, les ATD, les analyses de transferts, les demandes de droits et la gestion des violations dans un seul flux de travail. RGPD, LPD suisse et RGPD britannique partagent les memes enregistrements plutot que de vivre dans des espaces de travail separes.