Entré en application le 25 mai 2018, le Règlement Général sur la Protection des Données (RGPD) marque un tournant décisif dans la régulation numérique en Europe. Pensé pour répondre aux enjeux contemporains de la vie privée, ce texte impose à toutes les organisations (publiques comme privées) de mieux encadrer la collecte, le traitement et la conservation des données personnelles. Enjeu juridique, technologique mais aussi éthique, le RGPD responsabilise les acteurs du numérique tout en renforçant les droits des citoyens. Quelles sont les obligations concrètes pour les professionnels ? Qu’est-ce qu’une donnée personnelle au sens du règlement ? Comment s’y conformer efficacement ? Cet article fait le point complet sur les fondements, les exigences et les implications de ce règlement devenu incontournable.

Le RGPD : Une définition pour commencer

Le Règlement Général sur la Protection des Données, plus connu sous son acronyme RGPD (ou GDPR en anglais pour General Data Protection Regulation), est un texte législatif adopté par le Parlement européen et le Conseil de l’Union européenne en avril 2016, après plusieurs années de travaux et de consultations publiques. Il est officiellement entré en application le 25 mai 2018, dans tous les pays membres de l’Union européenne. Son adoption répondait à un besoin pressant de moderniser le cadre juridique en matière de protection des données personnelles, hérité de la directive européenne 95/46/CE datant de 1995. À l’époque, Internet en était à ses balbutiements, les réseaux sociaux n’existaient pas, les objets connectés étaient encore de la science-fiction, et les smartphones n’avaient pas envahi notre quotidien. Il devenait donc essentiel d’adapter la législation aux réalités numériques du XXIème siècle, marquées par une explosion de la collecte, du traitement et du partage des données à grande échelle.

Le RGPD constitue aujourd’hui l’un des textes les plus stricts et influents au monde en matière de protection de la vie privée. Il s’applique non seulement aux entreprises, administrations et associations établies dans l’Union européenne, mais aussi à toute organisation, quel que soit son lieu d’implantation, qui traite des données concernant des résidents européens.

Concrètement, ses objectifs principaux sont les suivants :

1. Renforcer les droits des citoyens européens sur la gestion, le contrôle et la sécurité de leurs données personnelles, notamment grâce à de nouveaux droits comme le droit à la portabilité des données ou le droit à l’oubli ;
2. Responsabiliser l’ensemble des entités publiques ou privées qui traitent des données, en les obligeant à adopter une approche proactive en matière de conformité, appelée accountability (responsabilité démontrée) ;
3. Harmoniser les législations au sein des 27 États membres de l’UE, afin de créer un cadre commun unique, plus simple et plus efficace, facilitant les échanges tout en protégeant les individus.

Le RGPD impose donc à toutes les structures traitant des données personnelles de repenser leurs pratiques et de mettre en œuvre des mesures concrètes pour assurer la transparence, la sécurité et la conformité des traitements. Cela passe notamment par :

• La nomination éventuelle d’un Délégué à la Protection des Données (DPO) ;
• La tenue d’un registre des traitements ;
• La mise à jour des politiques de confidentialité ;
• La collecte du consentement explicite des utilisateurs ;
• La sécurisation des systèmes d’information ;
• Et surtout, la capacité à prouver à tout moment leur conformité aux exigences du règlement.

Ainsi, depuis le 25 mai 2018, tous les sites Internet, applications mobiles, plateformes en ligne et services numériques sont légalement tenus de respecter les obligations imposées par le RGPD. En cas de manquement, les entreprises s’exposent à des sanctions administratives pouvant atteindre jusqu’à 20 millions d’euros ou 4 % de leur chiffre d’affaires mondial annuel, le montant le plus élevé étant retenu. Le RGPD ne concerne donc pas uniquement les grandes entreprises ou les acteurs du numérique : il s’applique à toute organisation, y compris les petites structures, dès lors qu’elle collecte ou traite des données personnelles (emails, adresses IP, noms, photos, numéros de téléphone, données bancaires, etc.). Son application dépasse également les frontières européennes, posant l’Union européenne comme une référence mondiale en matière de protection de la vie privée. Adopter une démarche conforme au RGPD, c’est aussi envoyer un message fort de confiance et de transparence à ses clients, usagers ou partenaires. À l’heure où les scandales autour de la vie privée se multiplient, la protection des données personnelles devient un levier stratégique majeur pour les marques et une attente croissante des citoyens européens.

Qu’entend-t-on par traitement de données personnelles ?

La notion de donnée personnelle ne date pas du RGPD. Elle est née bien plus tôt, dans un contexte de numérisation croissante des informations. Dès les années 1970, avec l’avènement de l’informatique dans l’administration publique et les entreprises privées, l’idée d’un encadrement de l’usage des données à caractère personnel s’est imposée en Europe. La France fut pionnière en la matière avec la loi Informatique et Libertés votée en 1978, sous l’impulsion de la mission menée par Bernard Tricot à la suite du projet SAFARI, qui visait à interconnecter les fichiers de l’administration. Cette loi créa également la CNIL (Commission nationale de l’informatique et des libertés), autorité indépendante chargée de veiller au respect de la vie privée.

Aujourd’hui, la définition des données personnelles est reprise par le RGPD (Règlement Général sur la Protection des Données), qui l’étend et la précise dans son article 4. Selon la CNIL et le texte européen, une donnée personnelle est :
« toute information se rapportant à une personne physique identifiée ou identifiable ». L’identification peut être directe (nom, prénom, numéro de sécurité sociale) ou indirecte (identifiant en ligne, adresse IP, cookies, voix, image, empreinte biométrique, etc.).

Cela signifie qu’une simple information, isolée ou croisée avec d’autres, peut suffire à identifier une personne, ce qui élargit considérablement le champ d’application du RGPD. Voici quelques exemples concrets :

• Des données d’identification : nom, prénom, date de naissance, adresse postale, numéro de téléphone
• Des données techniques : adresse IP, identifiant de connexion, identifiant de session, données GPS
• Des données biométriques : empreinte digitale, reconnaissance faciale, empreinte vocale
• Des données professionnelles : poste occupé, historique de carrière, numéro d’employé
• Des données économiques : coordonnées bancaires, situation fiscale, historique d’achats

Le terme traitement, lui aussi, possède une définition très large dans le RGPD. Il ne se limite pas à l’exploitation d’une base de données. Le traitement désigne toute opération ou ensemble d’opérations, automatisées ou non, appliquées à des données personnelles. Cela inclut :

• La collecte
• Le stockage
• La modification ou la mise à jour
• La consultation
• La diffusion ou transmission
• La suppression ou destruction

Ainsi, enregistrer des coordonnées clients dans un fichier Excel, envoyer une newsletter, utiliser des cookies pour analyser le trafic web ou encore transférer un fichier à un sous-traitant constitue un traitement de données personnelles.

Ce que le RGPD vient encadrer, c’est l’ensemble de ces traitements : il impose que chaque traitement soit justifié par un fondement légal clair (consentement, exécution d’un contrat, intérêt légitime, obligation légale…), et qu’il respecte un ensemble de principes comme la minimisation des données, la transparence, la limitation de la conservation ou encore la sécurité.

Le RGPD s’inscrit ainsi dans une évolution de fond du droit européen et international, qui considère désormais la protection des données personnelles comme une composante essentielle des droits fondamentaux des citoyens. Cette reconnaissance est notamment portée par l’article 8 de la Charte des droits fondamentaux de l’Union européenne, qui consacre le droit à la protection des données à caractère personnel.

Ce que prévoit le RGPD ou GPRD pour les professionnels

Depuis son entrée en vigueur le 25 mai 2018, le Règlement Général sur la Protection des Données (RGPD) représente un tournant fondamental dans la gouvernance des données personnelles à l’échelle de l’Union européenne. Il impose aux professionnels, qu’ils soient responsables de traitement ou sous-traitants, une nouvelle rigueur dans leur façon de collecter, exploiter, conserver et sécuriser les informations personnelles. Ce texte ne se limite pas à une simple mise en conformité administrative : il oblige à repenser en profondeur les pratiques numériques dans tous les secteurs d’activité, du e-commerce à la santé, en passant par l’éducation, la finance ou les services publics. Le RGPD repose sur un principe fondamental : Les données appartiennent aux personnes concernées. Ainsi, les entreprises ne peuvent en disposer librement que dans les conditions expressément prévues par la loi. Chaque traitement de données doit être justifié, documenté et proportionné. Cela implique de mettre en place une véritable politique interne de gouvernance des données.

Les données collectées doivent être assignées à un objectif précis et leur traitement doit reposer sur un fondement juridique valide : le consentement, l’exécution d’un contrat, le respect d’une obligation légale, la sauvegarde des intérêts vitaux, l’exécution d’une mission d’intérêt public ou encore l’intérêt légitime du responsable du traitement (dans certains cas spécifiques). Le consentement, en particulier, doit être libre, spécifique, éclairé et univoque. Il ne peut être ni tacite, ni obtenu de manière détournée. En pratique, cela implique un certain nombre d’exigences très concrètes :

• Toutes les données collectées doivent répondre à un objectif précis. Exemple : Vous pouvez collecter le mail d’une personne qui aura fait un achat sur votre site pour lui envoyer une confirmation de commande. Ce mail, en revanche, ne pourra être utilisé à d’autres fins, à moins de l’avoir exprimé clairement au consommateur et qu’il ait donné son accord ;

• Toutes ces informations personnelles doivent être stockées de façon transparente, c’est-à-dire que les personnes concernées doivent être informées de l’usage qui est fait de leurs données personnelles à travers des politiques de confidentialité accessibles et compréhensibles ;

• Ces personnes bénéficient d’un droit de regard sur l’utilisation de leurs données ainsi que d’un droit de modification ou de suppression de façon très simple (droit d’accès, droit à l’oubli). Elles bénéficient également d’un droit à la portabilité, c’est-à-dire que toutes les données les concernant qui ont été stockées doivent pouvoir être transférées sans obstacle à un tiers, sur simple demande ;

• Des dispositions particulières ont été prises au regard des mineurs de moins de 16 ans. Le recueil des données les concernant doit être suffisamment explicite pour qu’ils comprennent ce qui leur est demandé. De plus, le consentement doit également être obtenu auprès de l’autorité parentale. C’est une mesure de précaution renforcée, qui s’applique dans tous les États membres ;

• Toutes les données personnelles collectées doivent être clairement encadrées de façon à garantir leur sécurité : pare-feux, chiffrement, journalisation des accès, pseudonymisation, contrôle d’accès ou encore sauvegardes régulières font partie des bonnes pratiques recommandées ;

• Les données dites sensibles doivent être identifiées et protégées au moyen de mesures particulières. Il s’agit notamment des données de santé, des opinions politiques, de la religion, de l’orientation sexuelle ou encore des données biométriques ou génétiques. Ces données font l’objet d’un régime renforcé de protection.

Le RGPD a également introduit une innovation institutionnelle majeure : la création du guichet unique. Ce mécanisme permet à toute entreprise implantée dans plusieurs pays européens de ne dialoguer qu’avec une seule autorité de contrôle, celle du pays où se situe son établissement principal. Pour les résidents français, il s’agit de la CNIL (Commission nationale de l’informatique et des libertés). Cela favorise une meilleure cohérence des décisions rendues à travers l’Europe, tout en facilitant les démarches des citoyens comme des entreprises. Par ailleurs, le RGPD rend obligatoire la désignation d’un Délégué à la Protection des Données (DPO – Data Protection Officer) dans certains cas :

• Les autorités ou les organismes publics,
• Les entreprises ou associations qui effectuent un suivi régulier et systématique des personnes à grande échelle (ex : services de géolocalisation, plateformes de réseaux sociaux),
• Les entités amenées à traiter des données dites sensibles (santé, religion, orientation sexuelle, données judiciaires…)

Ce DPO a un rôle essentiel dans la conformité au RGPD. Il doit à la fois informer, conseiller et contrôler la bonne application du règlement dans son organisation. Il agit en toute indépendance, peut être interne ou externe, et doit être consulté à chaque étape importante d’un projet impliquant des données personnelles. Son profil doit allier compétences juridiques, techniques et organisationnelles.

Le respect de toutes ces obligations ne se limite pas à une simple conformité « sur papier ». Il suppose une démarche continue, impliquant la formation des collaborateurs, la mise à jour régulière des registres de traitement, la documentation des choix techniques, ainsi qu’un dialogue constant avec les parties prenantes internes et externes. La logique du RGPD est celle de la responsabilisation proactive, que l’on nomme aussi « accountability ».

À travers cette nouvelle architecture règlementaire, le RGPD établit un véritable contrat numérique entre les citoyens et les organisations. Il impose de faire de la protection des données personnelles un axe stratégique, au même titre que la cybersécurité, la conformité juridique ou la réputation en ligne. Un enjeu majeur à l’ère du big data et de l’intelligence artificielle.

Les notions clés du RGPD

Que faut-il faire concrètement ?

La première chose à faire est de constituer un registre permettant de recenser tous vos fichiers et toutes vos activités qui nécessitent de collecter des données. Une fois ces fichiers identifiés, le tri des données en sera facilité. Vous pourrez ainsi vérifier si toutes les informations collectées sont vraiment utiles, identifier les données dites « sensibles » et ne conserver que les données importantes.

Ensuite, il vous faudra mettre en place un système permettant d’informer les personnes à chaque fois que vous collecterez leurs données personnelles. Qu’il s’agisse d’un formulaire papier ou numérique, il devra comporter les mentions suivantes :

• Pourquoi est-ce que vous collectez ces informations ?
• Ce qui vous autorise à les collecter (Consentement de la personne concernée ou obligation légale par exemple)
• Qui a accès à ces données, à la fois en interne et à l’extérieur de l’entité (ex : sous-traitant) ?
• La durée de conservation de ces informations
• Les modalités d’exercice du droit de modification : droit d’accès, de rectification, d’opposition, d’effacement ou de portabilité (ex : envoi d’un mail, nom d’un contact…)
• Est-ce que ces données sont susceptibles d’être transférées à des tiers hors de l’Union Européenne, en précisant dans quel pays ainsi que les modalités de maintien de la protection des données

La dernière étape consistera à sécuriser ces données. En effet, vous êtes tenu légalement de protéger toutes les informations que vous détenez, en mettant en place des solutions minimisant le risque de pertes ou de piratage de ces informations. Les données dites « sensibles » doivent quant à elles faire l’objet de mesures de protection particulières.

Les sanctions encourus en cas de non-respect du Règlement Général sur la Protection des Données ?

En cas de non-conformité, les organismes publics ou privés responsables du traitement de données personnelles, peuvent :

• recevoir un avertissement,
• être mis en demeure,
• voir leurs flux de données temporairement ou définitivement suspendus,
• être assignés à satisfaire aux demandes d’exercice des droits des personnes,
• être contraints de rectifier ou d’effacer les données collectées,
• faire l’objet de lourdes sanctions.

Les amendes administratives peuvent s’élever, selon l’infraction, jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial, le montant le plus élevé étant retenu.

Comment mettre à jour son site Internet pour être en conformité ?

Lors de la première connexion sur votre site Internet, vous devez donner à l’utilisateur la possibilité de choisir comment ils souhaitent que ses données personnelles soient utilisées en fonction des objectifs ciblés (ex : analyse d’audience, utilisation à des fins publicitaires etc.). Chaque objectif doit être clairement identifié, et pour chacun, les données personnelles collectées ainsi que l’usage qu’il en est fait en interne ou par des tiers doit être précisé. Les réglages doivent pouvoir être configurés de manière indépendante pour chacun, si l’internaute veut autoriser certains paramètres mais pas tous. On pense ici notamment au débat qu’il peut y a voir concernant Google analytics qui permet d’obtenir des données de trafic via un script (Cookies). Dans un registre légèrement différent, allez voir notre article sur la gestion de l’historique d’un compte Google.

Si votre site est sur WordPress, plusieurs plugins sont disponibles. Attention néanmoins, lors de l’installation de l’un d’entre eux de vous assurer que cela ne génère pas un lien externe que vous ne souhaiteriez pas voir sur votre site, néfaste pour votre référencement. Certains encapsulent les liens dans du Javascript mais cela reste toujours une occasion de quitter votre site Internet.

Deux plugins peuvent également être intéressants à installer : Social Share Privacy et Shariff. Ces outil permettent d’intégrer les boutons des principaux réseaux sociaux sans envoyer de cookies avant d’obtenir un consentement préalable de l’utilisateur.

La page « politique de confidentialité » de votre site doit également être mise à jour pour expliquer clairement ce que vous faites des données collectées conformément au paragraphe « que faut-il faire concrètement ? ».  Cette page doit également être accessible et donc facilement consultable dès lors que vous demanderez à un internaute de transmettre des informations le concernant.

Sur vos formulaires, une case à cocher (appelée Opt-in) devra être présente et devra s’accompagner d’un lien vers la page « politique de confidentialité ». Elle vous permettra d’obtenir le consentement de l’utilisateur sur la collecte de ses données en ayant pris connaissance de la « politique de confidentialité du site » (ex de mention : “J’ai lu et accepte la politique de confidentialité de ce site” en incluant un lien URL vers votre page dédiée).

Vous devrez, par ailleurs, donner la possibilité à vos internautes de se désinscrire de tout type de publication (ex : newsletters, e-mailing publicitaire etc.) de façon simple par un bouton appelé « opt-out »  Si ce n’est déjà fait, il vous faudra donc revoir tous vos formulaires sur votre site.

Source : CNIL