Le RGPD : objet et objectifs

Comment le RGPD est-il né ? Quels sont ses objectifs ? Et quels sont ses enjeux ?

Le RGPD est un texte juridique qui peut être difficile à comprendre lorsqu'on n'est pas initié au language juridique ou aux termes utilisés. Il est d'autant plus complexe qu'il s'agit d'un seul et même texte à destination d'organisations très hétérogènes, travaillant dans des secteurs d'activités bien divers et pour des finalités très différentes.

Pourtant, une bonne compréhension de ce règlement et de ses objectifs est indispensable à une bonne interprétation de ce texte et afin de mettre en place les mesures adaptées.

Nous vous proposons dans cet article de blog d’examiner l’historique et le contexte qui a amené à la création de ce règlement.

Découvrez dans ce premier article notre vulgarisation de l'article 1er du Chapitre 1 du RGPD : "Objet et objectifs".

Le contexte historique de la protection des données à caractère personnel

Les données générées, depuis le milieu du 20ème siècle, n’ont cessé d’augmenter. Cette croissance s’explique en grande partie par la numérisation de l’ensemble des sphères de la société. Aujourd’hui, le progrès a fait basculer la société dans une ère du numérique, avec notamment avec la dématérialisation à grande échelle des activités professionnelles, personnelles, administratives, ou encore l’apparition des réseaux sociaux. Le droit français concernant la protection des données personnelles s’est construit en réaction aux dangers potentiels et réels de ces nouvelles technologies.

Les prémices de la protection des données à caractère personnel

Les premières préoccupations en matière de protection des données à caractère personnel apparaissent en 1973. Le gouvernement français décide de mettre en œuvre le projet SAFARI (i.e. Système Automatisé pour les Fichiers Administratifs et le Répertoire des Individus), il s’agit d’un projet d’interconnexion des fichiers de l’administration permettant une identification de chaque individu à travers son numéro de sécurité sociale dans une base centralisée. L’objectif étant de faciliter la circulation d’information entre les différents pouvoirs public.

Le 21 mars 1974, ce projet SAFARI est dévoilé par le magazine le Monde sous le nom " « Safari » ou la chasse aux Français" de Philippe Boucher. La nouvelle crée la polémique et en raison de l’indignation générale, le projet se retrouve définitivement abandonné. Le Premier ministre de l’époque crée alors une commission dite « Informatique et libertés », chargée de publier un rapport sur la nécessité et les moyens d’encadrer le traitement informatique des données se rapportant à des personnes physiques, tout en démontrant les dangers et les risques associés à certaines utilisations de l’informatique (1).

Le 6 janvier 1978, la loi dite « Informatique et Libertés » (2) entre en vigueur et ce qui en ressort est que l’informatique ne doit pas porter atteinte aux droits de l’Homme, que ce soit sa vie privée, ses libertés individuelles et publiques. L’informatique se doit d’être au service de l’humain et de ce fait, ne peut porter atteinte à l’identité humaine. Les règles édictées visent à protéger les données qui se rapportent à des individus. Pour donner suite à cette loi, la première autorité administrative est créée en France sous le nom de Commission Nationale de l’Informatique et des Libertés (CNIL). Il s’agit d’une autorité de contrôle, indépendante des pouvoirs publics, chargée de rendre un avis sur tous les projets de traitements de données émanant du secteur public et de veiller au respect des dispositions légales protectrices des personnes (3).

Les premières préoccupations à l'échelle européenne

À l’échelle de l’Union européenne (UE), l’ère du numérique inquiète et les préoccupations en matière de données personnelles apparaissent, et le contexte juridique doit s’adapter pour les États membre de l’UE. Le 24 octobre 1998, le Parlement européen et le Conseil de l’Union européenne adoptent la directive européenne 95/46/CE. Cette directive reprend les concepts et principes clés figurant dans la loi française de 1978, et vise à créer un socle commun à tous les pays de l’UE en matière de protection des données personnelles. Les États membres se retrouvent ainsi dans l’obligation d’adopter une législation spécifique à ce sujet et de mettre en place une autorité nationale de contrôle.

En 2004, la loi dite « Informatique et Libertés » subit une refonte en profondeur sous l’impulsion des avancées technologiques et des usages numériques associées, mais également de la directive européenne de 1995. Les termes changent : on ne parle plus de données nominatives, mais de données à caractère personnel, la protection de la loi s’étend au fichier papier et le secteur privé est soumis à un régime d’autorisation préalable pour certains traitements de données. Le pouvoir de la CNIL est renforcé par un pouvoir de sanction et se voit attribuer la fonction de correspondant.

L'apparition du Règlement Général sur la Protection des Données

Le 7 octobre 2016, la loi pour une république numérique vient enrichir la loi informatique et liberté. Cette loi renforce les droits des personnes : ainsi chacun dispose du droit de décider et de contrôle sur les usages qui sont faits de ses données à caractère personnel.

Dans ce contexte l’UE adopte le 14 avril 2016 le RGPD (i.e. Règlement Général sur la Protection des Données), promulgué au Journal officiel le 27 avril. Il s’agit d’un long règlement comprenant 173 considérants et 99 articles. Ce texte est une évolution et non pas une révolution de la législation, il s’inscrit dans la continuité de la législation française. Cependant, son application se fera deux ans plus tard, afin que les législations nationales des États membres et les entités procédant à la collecte et au traitement des données personnelles de s’y préparer.

Le 25 mai 2018, le RGPD entre en vigueur dans chacun des pays de l’UE et pour l’ensemble des acteurs mettant en œuvre des traitements de données à caractère personnel se rapportant à des personnes physiques se trouvant sur le territoire de celle-ci. La France ainsi que les autres États membre de l’UE conservent leur propre législation en matière de protection des données à caractère personnel en complément.

Les enjeux associés au RGPD (4)

En-dehors de la navigation internet, l’utilisation de données personnelles peuvent être disproportionnées et engendrer un profilage des personnes particulièrement intrusif. Par exemple, une utilisation en continu de vidéosurveillance peut engendrer des réflexes d’autocensure par les personnes concernées.

À l’ère du numérique, les données personnelles sont devenues un pilier de l’activité commerciale. Pour les utilisateurs, la collecte des données possède des avantages comme une meilleure personnalisation des offres commerciales qui leurs sont envoyées ou un meilleur confort lors de leur navigation web, mais cette collecte n’est pas sans risque. Les multiplications de traces numériques engendrent des risques tels que le spam de mails, le non-respect de la vie privée ou pire l’usurpation d’identité.

Le RGPD s’articule autour de différents axes tels que le renforcement des droits de personnes, une responsabilisation de l’ensemble des acteurs des traitements de données et le renforcement des pouvoirs de sanction de la CNIL. Le respect du RGPD possède également de nombreux enjeux.

L'enjeu juridique

Le RGPD, comme expliqué dans le paragraphe précédent, est obligatoire : se mettre en conformité, c’est respecter la loi et éviter une potentielle sanction. La CNIL, avant de prononcer une sanction pécuniaire, peut prononcer un rappel à l’ordre, demander de mettre un traitement de donnée en conformité ou de limiter un traitement, ou encore ordonner que l’entreprise répond aux demandes d’exercice des droits des personnes. À l’issue de contrôle ou de plainte, suite à un manquement des dispositions du RGPD de la part du responsable de traitement ou du sous-traitant peut entraîner des sanctions. Ces dernières s’élèvent à 20 millions d’euros ou dans le cas d’une entreprise jusqu’à 4% du chiffre d’affaires annuel mondial, et peuvent être rendues publiques.

L'enjeu éthique

Il est important de montrer l’importance que vous accordez à la protection des données personnelles. Dès l'instant où nous naviguons sur internet nous y laissons une quantité insoupçonnée d'informations. Avant la mise en place du RGPD, peu de personnes avaient conscience de la quantité de données personnelles qu'elles laissaient en ligne, et moins conscience encore des utilisations malveillantes qui pouvaient être faites de ces donnés personnelles, parfois particulièrement sensibles ou privées. Le RGPD est venu répondre à cette problématique. Se conformer au RGPD est une façon d’œuvrer pour un monde plus éthique.

L'enjeu commercial

Les sous-traitants et les prestataires sont de plus en plus examinés afin que leurs politiques internes respectent le RGPD. Un responsable de traitement est responsable également des traitements qui sont effectués par ses sous-traitants, et une non-conformité de leur part peut entraîner des sanctions comme vu précédemment. De plus, les sociétés prestataires ou sous-traitantes qui ne respectent pas le RGPD se retrouvent par la suite écartées lors d’appels d’offres. Être conforme au RGPD permet de se différencier de la concurrence et de construire une image de marque qualitative. Cela permet de démontrer que votre organisation est soucieuse de la réglementation et du respect de la loi, mais également du respect de la vie privée et de la protection des données personnelles et confidentielles.

Être conforme au RGPD est un avantage concurrentiel non négligeable pour les entreprise. Cela permet de favoriser la confiance des collaborateurs, sous-traitants, clients et prospects.

Sources :

(1) https://sites.ina.fr/cnil/focus/chapitre/2/medias

(2) www.legifrance.gouv.fr

(3) https://www.cnil.fr/fr/cnil-direct/question/la-cnil-cest-quoi

(4) www.colibri-dpo.com

🎬 Visionnez la version vidéo sur notre chaine YouTube !

https://www.youtube.com/watch?v=FxtcqC6R0LY

Articles complémentaires :

• Le RGPD : qui est concerné ?

• Le RGPD et les principes relatifs au traitement de données à caractère personnel

• Licéité des traitements de données à caractère personnel : les différentes bases légales

• Registre des traitements de données : que dit la CNIL ?

• RGPD : Les conditions applicables au consentement et ses exceptions

• Conformité au RGPD et catégories de données à caractère personnel

Vous avez apprécié cet article de blog ?

Retrouvez plus de contenus en rapport avec la cybersécurité et la conformité réglementaire au RGPD sur le blog de CyberSecura !

Découvrez-en plus sur notre prestation de DPO externalisé en temps partagé !

Nous avons besoin de vos réponses !

En répondant à cette enquête, vous nous permettez de mieux comprendre vos interactions avec notre site ainsi que vos potentiel besoins.

Vos réponses sont anonymes, et à moins que vous ne demandiez à être re-contacté(e) par nos équipes, aucune information personnelle ne vous est demandée !

Merci pour vos réponses !

Découvrez-en plus sur nos prestations de services en conformité réglementaire au RGPD !

Vous souhaitez être informé(e) de nos actualités, et recevoir nos derniers articles de blog directement dans votre boite mail ? Abonnez-vous à notre newsletter mensuelle !

Vous souhaitez discuter de vos difficultés, de vos besoins, de nos offres ? Demandez à être contacté, gratuitement et sans engagement, par l'un de nos expert en cybersécurité !