RGPD

La nouvelle législation européenne RGPD entend mieux protéger la vie privée du citoyen. Qu’est-ce que cela signifie concrètement ? Quel en sera l’impact sur les utilisateurs et les entreprises ? Bref aperçu des grands principes.

Qu’est-ce que le RGPD ?

RGPD désigne le règlement général pour la protection des données  (en anglais, GDPR General Data Protection Regulation et en néerlandais AVG, Algemene Verordening Gegevensbescherming). Ce règlement européen remplace la directive sur la protection des données 95/46/EC de 1995. 

Pourquoi RGPD ?

Le but est de mieux protéger la vie privée du citoyen et d’appliquer les mêmes règles à l’ensemble de l’Union européenne. D’une part, le citoyen pourra mieux contrôler la manière dont ses données personnelles sont utilisées ; d’autre part le RGPD établit une structure légale claire, une norme applicable partout en Europe afin que les entreprises  sachent comment elles doivent traiter les données de manière à protéger la vie privée.

A qui s’applique le RGPD ?

Toute entreprise, toute organisation privée ou publique qui collecte et traite des données à caractère personnel de citoyens européens doit appliquer le RGPD, quel que soit le pays où cette entreprise ou organisation se situe. Une société américaine qui travaille avec des données d’utilisateurs européens est donc elle aussi tenue de respecter ces règles. Le RGPD s’applique également aux magasins physiques ou en ligne qui collectent les adresses de leurs clients pour les informer régulièrement, par mail ou par la poste.

Ce qui est important ici, c’est la définition de la notion de données à caractère personnel. La réglementation parle de PII ou Personal Identification Information. Il ne s’agit pas seulement de votre nom, de votre adresse, du numéro de votre carte d’identité, de votre numéro de registre national ou de votre date de naissance ; sont également concernées des données numériques telles que lieu, adresse IP, données des cookies, tags RFID.  Les données relatives à la santé font aussi partie du périmètre du règlement, de même que toutes données génétiques, biométriques, raciales, ethniques ou liées au genre ou à l’opinion politique.

Sur quoi porte le RGPD exactement ?

Les grands principes du RGPD sont les suivants :

  • Collecte de données - aussi bien en ligne qu’offline :
    • L’utilisateur doit donner son autorisation explicite. Pour la réception de bulletins d’information ou de messages commerciaux par exemple, les cases précochées (opt-out) ne sont plus autorisées ; l’utilisateur doit cocher lui-même la case (opt-in).
    • Il y a cependant quelques exceptions à ce principe : le traitement de données à caractère personnel est possible sans autorisation lorsque cela est nécessaire pour exécuter un contrat avec l’utilisateur, remplir une obligation légale, accomplir une tâche d’intérêt public ou protéger les intérêts vitaux de l’utilisateur ou d’autres personnes physiques.
    • Celui qui collecte les données doit indiquer expressément quelles données sont collectées et à quelle fin.
    • Les données collectées ne peuvent être utilisées qu’à cette fin et durant une période correspondant à cet objectif.
  • Enregistrement des données
    • Les données doivent être enregistrées selon une méthode/un système conçu pour garantir la protection des données et de la vie privée.
    • Toute infraction à la sécurité des données doit être signalée dans les 72 heures.
    • L’utilisateur a un droit de regard sur ses données : il doit pouvoir accéder aux données, les visionner, les corriger le cas échéant, les faire supprimer ou transférer. L’entreprise doit pouvoir présenter une copie électronique de son fichier privé.
    • L’utilisateur doit pouvoir retirer son autorisation à tout moment.
  • Surveillance des données
    • Les entreprises de plus de 250 personnes doivent désigner un Data Protection Officer, chargé de superviser l’exécution correcte du RGPD.
    • Dans les états membres de l’UE, des organismes de contrôle spéciaux (Supervisory Authority) seront chargés de contrôler la conformité réglementaire du RGPD. En Belgique, cette compétence est attribuée à la Commission de la Protection de la Vie Privée.
  • Le transfert de données à des organisations en dehors de l’UE n’est autorisé que si ces organisations peuvent prouver qu’elles respectent elles aussi le RGPD.

Traitement des données

Le RGPD stipule-t-il que nous devons pour chaque traitement demander et obtenir le consentement de la personne dont les données doivent être traitées ?
La reponse vous trouvez ici.

Responsable du traitement ou sous-traitant

Dans cet article, nous allons analyser deux notions clés du RGPD  qui, apparemment, suscitent encore pas mal de confusion: le sous-traitant et le responsable du traitement.

registre

Organisation qui gère les noms de domaine. Un registre maintient la base de données contenant des informations sur une (ou plusieurs) extension(s) telle que .be, .com, .org, .vlaanderen, etc.

DNS

Domain Name System, littéralement Système de Noms de Domaine. Le DNS est le protocole internet qui assure la conversion entre les noms de domaine et les adresses IP et vice versa.