Fiche de Révision RGPD - Partie I

**Fiche de Révision : RGPD Compliance - Partie I (Version Complète et Détaillée)** **1. Introduction au RGPD** **1.1 Pourquoi la protection des données est-elle importante ?** - **Contrôle des données** : Le RGPD (Règlement Général sur la Protection des Données) donne aux individus le contrôle sur leurs données personnelles. Les personnes peuvent savoir quelles données sont collectées, comment elles sont utilisées, et ont le droit de les modifier ou de les supprimer. - **Conformité** : Le RGPD assure que les entreprises respectent un cadre réglementaire strict pour protéger les données personnelles. - **Confiance** : Une bonne gestion des données renforce la confiance des clients et des partenaires, ce qui améliore la réputation de l\'entreprise. - **Sanctions** : En cas de non-conformité, les entreprises risquent des sanctions administratives (amendes jusqu\'à 20 millions d\'euros ou 4% du chiffre d\'affaires annuel mondial), des litiges, et une atteinte à leur réputation. **1.2 Chronologie synthétique** - **1978** : Loi Informatique et Libertés en France, première loi sur la protection des données. - **1995** : Directive 95/46/CE sur la protection des données dans l\'UE. - **2002** : Directive \"ePrivacy\" sur la confidentialité des communications électroniques. - **2016** : Adoption du RGPD (Règlement Général sur la Protection des Données). - **2018** : Application du RGPD à partir du 25 mai. **1.3 Projet SAFARI** - **Contexte** : Dans les années 1970, le ministère de l\'Intérieur français a envisagé la création d\'une base de données centralisée des citoyens, utilisant le numéro de sécurité sociale comme identifiant unique. - **Impact** : Ce projet a suscité une prise de conscience de la nécessité de protéger les données personnelles, conduisant à l\'adoption de la Loi Informatique et Libertés en 1978. **2. Législation applicable en France et dans l\'UE** **2.1 Textes clés** - **Loi Informatique et Libertés (1978)** : Première loi française sur la protection des données, modifiée pour s\'aligner sur le RGPD. - **Directive 95/46/CE** : Directive européenne sur la protection des données, remplacée par le RGPD en 2018. - **RGPD (2016/679)** : Règlement européen directement applicable dans tous les États membres. Il harmonise les règles de protection des données dans l\'UE. - **Loi pour la Confiance dans l\'Économie Numérique (LCEN, 2004)** : Régit les services de communication en ligne, y compris les obligations en matière de cookies et de prospection électronique. **2.2 Autorités compétentes** - **CNIL (France)** : Commission Nationale de l\'Informatique et des Libertés, chargée de veiller au respect du RGPD en France. - **AEPD (Espagne)** : Agencia Española de Protección de Datos. - **DPC (Irlande)** : Data Protection Commission. - **BFDI (Allemagne)** : Bundesbeauftragte für den Datenschutz und die Informationsfreiheit. **3. Champ d\'application du RGPD** **3.1 Champ matériel** - **Définition des données personnelles** : Toute information relative à une personne physique identifiée ou identifiable (nom, adresse, numéro de sécurité sociale, adresse IP, etc.). - **Traitement des données** : Toute opération effectuée sur des données personnelles, qu\'elle soit automatisée ou non (collecte, enregistrement, modification, suppression, etc.). - **Exemples de données personnelles** : - Données des employés (nom, adresse, numéro de sécurité sociale). - Données des visiteurs de sites web (adresse IP, cookies). - Données sensibles (religieuses, politiques, de santé, biométriques). **3.2 Exceptions au champ matériel** - **Traitement à des fins personnelles ou domestiques** : Par exemple, un carnet d\'adresses personnel ou des fichiers familiaux. - **Traitement par les autorités compétentes** : Pour la prévention et la détection des infractions pénales. - **Copies temporaires** : Dans le cadre de la transmission de données sur un réseau (ex : cache temporaire). **3.3 Champ territorial** - **Établissement dans l\'UE** : Le RGPD s\'applique aux entreprises établies dans l\'UE, même si les données sont traitées hors de l\'UE. - **Ciblage des résidents de l\'UE** : Le RGPD s\'applique également aux entreprises non établies dans l\'UE qui ciblent des résidents de l\'UE, soit par l\'offre de biens ou services, soit par le suivi de leur comportement en ligne. **4. Les acteurs du RGPD** **4.1 Responsable du traitement (Data Controller)** - **Définition** : Personne physique ou morale qui détermine les **finalités** et les **moyens** du traitement des données. - **Obligations** : - Assurer la conformité au RGPD. - Désigner un **Délégué à la Protection des Données (DPO)** si nécessaire. - Tenir un registre des activités de traitement. **4.2 Sous-traitant (Data Processor)** - **Définition** : Personne physique ou morale qui traite les données **pour le compte du responsable du traitement**. - **Obligations** : - Respecter les instructions du responsable du traitement. - Assurer la sécurité des données. - Signer un contrat avec le responsable du traitement. **4.3 Responsables conjoints (Joint Controllers)** - **Définition** : Lorsque plusieurs entités déterminent conjointement les finalités et les moyens du traitement. - **Obligations** : - Définir leurs responsabilités respectives dans un contrat. - Informer les personnes concernées de leurs droits. **5. Études de cas** **5.1 Agence de voyage** - **Scénario** : Une agence de voyage envoie les données personnelles de ses clients à une compagnie aérienne et à une chaîne hôtelière pour réserver un forfait vacances. - **Analyse** : - Si chaque entité utilise les données pour ses propres activités, elles sont **responsables séparés**. - Si elles créent une plateforme commune pour offrir des forfaits, elles deviennent **responsables conjoints** pour ce traitement. **5.2 Projet de recherche** - **Scénario** : Plusieurs instituts de recherche utilisent une plateforme commune pour partager des données personnelles dans le cadre d\'un projet de recherche. - **Analyse** : Les instituts sont **responsables conjoints** pour les données partagées sur la plateforme, mais restent responsables séparément pour les traitements effectués en dehors de la plateforme. **5.3 Chasseur de têtes** - **Scénario** : Une entreprise aide une autre à recruter du personnel en utilisant une base de données commune. - **Analyse** : Les deux entreprises sont **responsables conjoints** pour le traitement des données liées au recrutement, mais chacune reste responsable des traitements effectués pour ses propres besoins. **6. Points clés à retenir** - **RGPD** : Règlement européen visant à protéger les données personnelles et à donner aux individus le contrôle sur leurs données. - **Champ d\'application** : Le RGPD s\'applique à toute entreprise traitant des données de résidents de l\'UE, même si elle n\'est pas établie dans l\'UE. - **Responsabilités** : Les responsables du traitement et les sous-traitants ont des obligations spécifiques pour assurer la conformité au RGPD. - **Sanctions** : Les sanctions en cas de non-conformité peuvent être lourdes (amendes, litiges, atteinte à la réputation). **Fiche de Révision : RGPD Compliance - Partie II (Version Complète et Détaillée)** **4. Principes directeurs du RGPD** **4.1 Aperçu général** - **Loyauté et transparence** : Informer les personnes sur qui, quoi, pourquoi, où et comment leurs données sont traitées. - **Limitation des finalités** : Les données doivent être collectées pour des finalités déterminées, explicites et légitimes. - **Minimisation des données** : Seules les données strictement nécessaires doivent être collectées et traitées. - **Exactitude des données** : Les données doivent être exactes et mises à jour. - **Limitation de la conservation** : Les données ne doivent être conservées que le temps nécessaire à la réalisation des finalités. - **Intégrité et confidentialité** : Les données doivent être protégées contre les accès non autorisés et les pertes. **4.2 Licéité du traitement** - **Consentement** : Le consentement doit être libre, spécifique, éclairé et univoque. Il doit être aussi facile à retirer qu'à donner. - **Exécution d'un contrat** : Le traitement est nécessaire pour l'exécution d'un contrat auquel la personne concernée est partie. - **Obligation légale** : Le traitement est nécessaire pour respecter une obligation légale. - **Intérêt légitime** : Le traitement est nécessaire pour les intérêts légitimes poursuivis par le responsable du traitement, à condition que ces intérêts ne prévalent pas sur les droits et libertés des personnes concernées. **4.3 Données sensibles** - **Définition** : Données révélant l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses, les données génétiques, biométriques, de santé, ou concernant la vie sexuelle ou l'orientation sexuelle. - **Principe** : Le traitement des données sensibles est interdit, sauf exceptions prévues par le RGPD (ex : consentement explicite, intérêt public, etc.). **4.4 Transparence** - **Niveau 1** : Informations essentielles (qui, quoi, pourquoi, où, comment). - **Niveau 2** : Informations détaillées (finalités, bases légales, durée de conservation, droits des personnes, etc.). - **Exemple** : Pour la vidéosurveillance, informer les personnes sur les finalités, les destinataires des images, et les droits d'accès. **4.5 Minimisation des données** - **Principe** : Ne collecter que les données strictement nécessaires à la finalité du traitement. - **Exemple** : Pour un recrutement, ne pas collecter des informations sur la famille du candidat. **4.6 Conservation des données** - **Principe** : Les données ne doivent être conservées que le temps nécessaire à la réalisation des finalités. - **Exemples** : - **Payslips** : 5 ans en version papier, 50 ans en version dématérialisée. - **Données de prospects** : 3 ans à partir du dernier contact. **4.7 Sécurité et confidentialité** - **Mesures techniques et organisationnelles (MTO)** : Pseudonymisation, chiffrement, gestion des accès, sauvegarde des données. - **Sécurité physique** : Protection des locaux et des équipements (badges, gardiennage). - **Mesures contractuelles** : Obligations de sécurité dans les contrats avec les sous-traitants. **5. Consentement** **5.1 Définition** - **Article 4 du RGPD** : Le consentement doit être une manifestation de volonté libre, spécifique, éclairée et univoque. - **Preuve du consentement** : Le responsable du traitement doit être en mesure de démontrer que la personne a bien consenti. **5.2 Consentement des mineurs** - **Âge minimum** : 16 ans, mais les États membres peuvent abaisser cet âge à 13 ans. - **Autorisation parentale** : Pour les mineurs de moins de 16 ans, le consentement doit être donné ou autorisé par le titulaire de l'autorité parentale. **5.3 Prospection électronique** - **B2C** : Consentement préalable requis (opt-in). - **B2B** : Pas de consentement requis, mais droit d'opposition (opt-out). - **Retrait du consentement** : Doit être aussi simple que le donner (ex : lien de désabonnement dans un e-mail). **5.4 Cookies** - **Cookies techniques** : Pas de consentement requis (ex : cookies de session). - **Cookies de suivi** : Consentement préalable requis (ex : cookies publicitaires). - **Recommandations CNIL** : Deux niveaux d'information (bandeau cookies + gestionnaire de cookies). **5.5 Murs de cookies** - **Définition** : Faire dépendre l'accès à un service de l'acceptation des cookies. - **Alternative équitable** : Offrir une alternative réelle et satisfaisante en cas de refus des cookies (ex : paywall à un prix raisonnable). **6. Bases légales du traitement** **6.1 Exécution d'un contrat** - **Conditions** : 1. Existence d'un contrat ou d'une relation précontractuelle. 2. Le contrat doit être valide selon la loi applicable. 3. Le traitement doit être nécessaire à l'exécution du contrat. **6.2 Obligation légale** - **Conditions** : 1. L'obligation légale doit être définie par le droit européen ou national. 2. Les dispositions légales doivent être claires et précises. 3. L'obligation doit être imposée au responsable du traitement. **6.3 Intérêt légitime** - **Conditions** : 1. L'intérêt poursuivi doit être légitime. 2. Le traitement doit être nécessaire pour atteindre cet intérêt. 3. L'intérêt légitime ne doit pas prévaloir sur les droits et libertés des personnes concernées. - **Exemples** : Prévention de la fraude, prospection commerciale B2B, sécurité des systèmes informatiques. **7. Données sensibles** **7.1 Principe** - **Interdiction** : Le traitement des données sensibles est interdit, sauf exceptions prévues par le RGPD. **7.2 Exceptions** - **Consentement explicite** : Sauf impossibilité. - **Intérêt public** : Pour des raisons d'intérêt public important (ex : santé publique). - **Archivage, recherche scientifique** : Pour des finalités d'archivage, de recherche scientifique ou historique. **7.3 Exemples de traitement** - **Données de santé** : Analyses médicales, dossiers médicaux. - **Données biométriques** : Reconnaissance faciale, empreintes digitales. - **Données syndicales** : Gestion des représentants syndicaux par les RH. **8. Sécurité et confidentialité** **8.1 Mesures techniques et organisationnelles (MTO)** - **Pseudonymisation et chiffrement** : Protéger les données contre les accès non autorisés. - **Gestion des accès** : Limiter l'accès aux données aux seules personnes autorisées. - **Sauvegarde des données** : Assurer la disponibilité des données en cas d'incident. **8.2 Sécurité physique** - **Protection des locaux** : Badges, gardiennage, contrôle d'accès. - **Protection des équipements** : Sécurisation des serveurs, des ordinateurs portables, etc. **8.3 Mesures contractuelles** - **Contrats avec les sous-traitants** : Inclure des clauses de sécurité et de confidentialité. - **Cartographie des flux de données** : Identifier les flux de données et les risques associés. **9. Études de cas** **9.1 Prospection électronique** - **Scénario** : Une entreprise envoie des e-mails de prospection sans consentement. - **Analyse** : Sanction possible pour non-respect du consentement (ex : amende de 20 000 €). **9.2 Cookies** - **Scénario** : Un site web dépose des cookies publicitaires sans consentement. - **Analyse** : Sanction possible pour non-respect des règles sur les cookies (ex : amende de 100 000 €). **9.3 Conservation des données** - **Scénario** : Une entreprise conserve les données de prospects pendant 10 ans sans justification. - **Analyse** : Violation du principe de limitation de la conservation. **10. Points clés à retenir** - **Licéité** : Le traitement des données doit être justifié par une base légale (consentement, contrat, obligation légale, intérêt légitime). - **Transparence** : Les personnes doivent être informées de manière claire et accessible sur le traitement de leurs données. - **Minimisation** : Ne collecter que les données strictement nécessaires. - **Sécurité** : Mettre en place des mesures techniques et organisationnelles pour protéger les données. - **Sanctions** : En cas de non-conformité, les sanctions peuvent être lourdes (amendes, litiges, atteinte à la réputation). Con

Fiche de Révision RGPD - Partie I

Document Details

Tags

Related

Summary

Full Transcript