La loi RGPD garantit la protection des données personnelles des utilisateurs lorsqu’ils naviguent sur le web. Au 31 mars 2021, tous les éditeurs de site web devaient avoir mis en conformité les cookies dans le cadre du RGPD. Mais qui est concerné par le RGPD ? Quels sont ses objectifs ? Quelles sont les obligations et sanctions en cas de non-respect ? On vous dit tout !
Qu’est-ce-que le RGPD ?
RGPD est l’acronyme de « Règlement Général sur la Protection des Données ». Il est entré en application en 2018 et encadre le traitement des données personnelles sur le territoire de l’Union européenne. Ce nouveau Règlement est en complément de la Loi française Informatique et Libertés de 1978 et permet de renforcer le contrôle par les citoyens de l’utilisation de leurs données personnelles.
Qui est concerné par le RGPD ?
Le RGPD s’applique à toute organisation, publique et privée, qui collecte, stocke ou utilise des données personnelles sur des résidents de l’Union européenne.
Ainsi, si une entreprise située en dehors de l’UE traite les données personnelles d’un résident européen, elle sera concernée par le RGPD. À l’inverse, si une entreprise européenne traite des données de résidents non-européens, elle ne sera pas concernée par le RGPD.
Quel est l'objectif du RGPD ?
L’objectif du RGPD est simple : protéger les données à caractère personnel et empêcher leur utilisation et leur vente.
Une donnée personnelle correspond à « toute information se rapportant à une personne physique identifiée ou identifiable ». Une personne peut être identifiée directement (Exemple : nom, prénom) ou indirectement (Exemple : une adresse IP, un numéro, une image, la voix…).
Ce règlement offre un cadre juridique aux professionnels grâce à une harmonisation des règles en Europe. Les échanges numériques peuvent alors se fonder sur une confiance réciproque entre les professionnels et les utilisateurs.
Quels sont les droits des personnes dont les données sont collectées ?
- Droit d’accès : toute personne peut demander l’accès aux données qui le concerne et à tout moment.
- Droit de rectification et d’opposition : toute personne peut demander la rectification des données récoltées et s’opposer à leur utilisation.
- Droit à la portabilité : toute personne peut récupérer les données qu’elle a fournies et les transférer à un tiers.
- Droit à réparation du dommage matériel ou moral : le responsable de tout dommage matériel ou moral lié à la violation du RGPD doit réparer son préjudice.
- Droit à l’oubli : toute personne peut demander l’effacement et le déréférencement de ses données.
- Droit à notification : le responsable du traitement des données doit avertir les personnes en cas de violation de la sécurité des données qui comporte un risque élevé.
Comment rendre son site conforme au RGPD ?
- Les mentions légales : un lien généralement placé en bas de page pour informer les visiteurs de l’identité de la personne qui édite le site et de celles qui le gèrent.
- Les conditions générales d’utilisation (CGU) : elles précisent les modalités d’utilisation du site et encadrent les relations entre l’utilisateur et le site.
- Les conditions générales de vente (CGV) : elles fixent les règles qui encadrent la vente.
- La politique de cookies : les cookies permettent de reconnaître un internaute sur un site web et généralement, de pouvoir récupérer ses données de navigation, pour faciliter son parcours d’utilisateur. Ainsi, si le site web utilise des cookies, les utilisateurs doivent être informés et donner leur consentement éclairé.
- Le consentement doit être demandé systématiquement sur les formulaires de contact, les newsletters, la création de compte client : si ce type de formulaire est utilisé, les utilisateurs doivent être informés sur la collecte de leurs données personnelles et de l’utilisation qui en est faite.
- Un formulaire de droit à l’oubli est obligatoire pour permettre aux utilisateurs de demander la suppression de leurs données personnelles.
- Dans certains cas, la désignation d’un DPO (Délégué de la Protection Données) est obligatoire. Celui-ci doit s’assurer de toute la mise en conformité du RGPD de l’entreprise.
Quelles obligations le RGPD impose aux entreprises ?
- Les entreprises doivent obtenir un consentement clair et explicite de la part des personnes lors de la collecte de données.
- L’ensemble des droits des personnes doit être respecté. (cf: quels sont les droits des personnes dont les données sont collectées)
- Les données personnelles stockées doivent être sécurisées de manière optimale sur les sites concernés.
- Un registre des traitements doit être tenu et mis à jour régulièrement. (voir le site de la CNIL)
Quelles sanctions en cas de non-respect du RGPD ?
En cas de violation du règlement, la CNIL (Commission Nationale de l’Informatique et des Libertés) a la faculté de sanctionner administrativement. Les amendes administratives peuvent atteindre, selon la catégorie du manquement, 2 % à 4 % du chiffre d’affaires annuel mondial de l’exercice précédent.
D’autre part, des sanctions pénales peuvent s’ajouter à ces sanctions administratives. C’est le cas des infractions liées à l’absence d’information des personnes concernées, au non-respect des droits des personnes ou encore aux détournements de la finalité des données personnelles.
Enfin, des dommages et intérêts peuvent être demandés par les victimes devant les juridictions civiles et pénales.
Le non-respect du RGPD a également un risque d’atteinte à la réputation d’une entreprise. La CNIL peut d’ailleurs diffuser un document officiel détaillant le manquement et le montant de l’amende, dans le cadre des procédures de sanction.
Conclusion
Au quotidien, le RGPD protège l’utilisation abusive des données personnelles et impose une transparence quant à la collecte et au traitement des informations. Le renforcement de la sécurité est un véritable atout pour mieux gérer les informations collectées.