Le Règlement général sur la protection des données (RGPD) institué le le 25 mai 2018 s’applique à toutes les entités implantées dans un pays européen et traitant des données à caractère personnel, mais aussi à celles à travers le monde et traitant des données à caractère personnel appartenant à des résidents de l’UE.
Qu’entend-on par “données personnelles” ?
La Commission nationale de l’informatique et des libertés (CNIL) définit la notion de “donnée à caractère personnel” comme étant “toute information se rapportant à une personne physique identifiée ou identifiable”.
Cette définition englobe un éventail d’informations variées qui, de manière indirecte ou directe, permettent d’identifier un individu.
L’identification peut se faire de deux manières : par le biais d’une identification directe, qui comprend des données explicites comme le nom et le prénom ; ou par le biais d’une identification indirecte, où l’identification se fait par le biais d’un identifiant, un numéro ou tout autre moyen similaires.
Pour illustrer ce concept, la CNIL propose un certain nombre d’exemples de traitements de données personnelles, parmi lesquels :
- La tenue d’un fichier client,
- La collecte de coordonnées de prospects via questionnaire,
- La mise à jour d’un fichier de fournisseurs.
La protection de nos données personnelles
Le RGPD impose aux organisations de fournir aux individus une plus grande maîtrise et transparence sur le traitement de leurs données. Elles doivent obtenir un consentement explicite de l’utilisateur, ou de ses parents s’il est âgé de moins de 16 ans, et préciser quelles données sont traitées ainsi que dans quel but.
De plus, elles doivent divulguer si ces traitements sont automatisés et incluent un profilage. Les individus doivent avoir la possibilité d’accéder à leurs données, de les corriger et de les supprimer. Le RGPD accorde également le droit à la portabilité des données, ce qui signifie qu’elles doivent pouvoir être récupérées dans un format standardisé et transférées à une autre organisation lorsque cela est techniquement possible.
En cas de souci ?
Aujourd’hui, chaque utilisateur peut s’adresser directement à la CNIL en cas de problème lié à la protection de ses données. En cas de violation de ces droits, les organisations responsables ne resteront pas impunies.
Des sanctions peuvent être imposées à l’organisation en faute, allant jusqu’à 4 % de son chiffre d’affaires mondial. Des actions de groupe peuvent être menées, comme c’est le cas tout récemment avec Meta (Instagram et Facebook) au sujet de son abonnement payant.
