25 mai 2018

Règlement Général sur

la Protection des Données

Fondamentaux du Règlement Général de Protection des Données

( RGPD ) ou GDPR General Data Protection Regulation

La protection des données suite à l'entrée en vigueur du RGPD


• Le RGPD impose désormais un cadre réglementaire pour la protection des données personnelles beaucoup plus radical et contraignant à travers l’Union européenne (UE). Toute entité « de contrôle » ou « de traitement » des données personnelles basée en Europe est soumise à cette réglementation. Cela signifie que les entreprises basées en Suisse doivent se conformer aux dispositions du RGPD lorsqu’elles traiteront les données personnelles de citoyens de l’UE.


comprendre la notion de traitement


Toutes les opérations, de la collecte initiale de données personnelles à la suppression ou destruction finale de ces données sont considérées comme des opérations de traitement de données personnelles. Tout comme le fait de créer des données personnelles, de les stocker, utiliser, copier, agréger, modifier, amender, partager, transmettre, archiver, vendre, perdre et effacer. Il en va de même lors de la création d’un historique des événements .

• Par exemple, l’utilisation de l’e-mail pour communiquer constitue également une opération de traitement de données personnelles. En effet, tout e-mail envoyé dans le cadre professionnel se réfère au minimum à une personne, l’envoi d’un e-mail entre de ce fait dans le cadre du traitement de données personnelles.

• Il faut donc considérer que pratiquement tous les appareils technologiques et bases de données utilisés dans les processus métier sont quelque part liés à des données personnelles.

• Le RGPD impose que les entités de contrôle et de traitement des données personnelles agissent de manière légale, loyale et transparente dans la façon dont elles utilisent les données personnelles, ainsi que dans leur comportement vis-à-vis des personnes à qui ces données se rapportent. Les entités de contrôle doivent être ouvertes et honnêtes à propos de ce qu’elles font et pourquoi elles le font. Elles ne peuvent par exemple pas tromper les gens sur les fins auxquelles elles utilisent leurs données.

Les entités de contrôle doivent respecter l’objectif initial d’acquisition des données, minimiser les volumes de données stockées, s’assurer qu’à tout moment les données soient exactes, à jour, sécurisées et confidentielles, et s’engager à les effacer ou les détruire une fois que l’objectif initial qui a justifié la collecte ou la création de ces données est atteint, ou si la personne concernée ne consent plus à ce que ces données soient utilisées.

• Les personnes qui demandent à savoir ce qu’il se passe avec leurs données doivent recevoir des réponses et avoir des copies de leurs données. Dans le cas où les personnes concernées ont de bonnes raisons de réclamer l’arrêt du traitement de leurs données, il convient d’agir en conséquence.


les grandes innovations dans le rgpd


Partout, l’adoption du RGPD va confronter beaucoup d’entités à de nombreux nouveaux défis. Voici un aperçu des principales problématiques :


  • Conformité

De nouvelles exigences strictes sont imposées en matière de conformité. Par exemple, les entités sont dans l’obligation d’effectuer des études d’impact sur la vie privée ainsi que des audits sur la vie privée. Elles doivent implémenter dans leurs processus métier des méthodologies de prise en compte du respect de la vie privée dès la conception, de sorte que la conformité soit assurée de bout en bout. Elles doivent fournir une nouvelle obligation de « responsabilité », ce qui implique de rédiger des plans de conformité, qu’elles doivent sur demande délivrer aux organismes de réglementation.


  • Contrôle d'utilisation

Les données à caractère personnel font l’objet de nouveaux contrôles d’utilisation stricts. Ceux-ci incluent les principes de « minimisation des données », de « portabilité des données » et « de droit à l’oubli », ce qui exige des entités de limiter l’utilisation des données, pour permettre aux individus de porter leurs données à la fin d’une prestation et de supprimer et détruire des données sur demande.


  • Consentement

Le consentement pour utiliser des données personnelles est beaucoup plus difficile à obtenir et à prouver.


  • Regroupement

La fourniture d’un service qui est subordonnée à l’autorisation d’une personne pour que ses données soient utilisées à des fins non essentielles (tels que le marketing) est interdite.


  • Agrégation

La capacité d’agréger des données pour permettre le profilage d’un individu (objectif commun dans de nouveaux projets numériques) est sévèrement restreinte.


  • Supervision

Les organismes de réglementation sont également habilités sur demande à auditer et inspecter les entités.


  • Divulgation et violation des droits

Les entités sont tenues de signaler aux organismes de réglementation et aux personnes concernées les infractions graves à la loi. La divulgation publique d’une violation est susceptible de conduire à des sanctions réglementaires et des demandes d’indemnisation, ainsi que de causer des dommages à la marque et à la réputation de l’entreprise impactée.


  • Amendes

Les amendes applicables suite à une violation du RGPD peuvent croître jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel (en Suisse, la LPD prévoit un plafond de l'amende à CHF 500'000.-)


  • Litiges

Les citoyens et les groupes de pression sont autorisés à engager des litiges de masse («class actions») pour être indemnisés en cas d'infractions à la loi.

domaines impactés

Les activités des entreprises qui sont le plus affectés par le RGPD sont :


  • les activités en contact direct avec les clients,
  • les activités avec les enfants,
  • les activités de marketing et publicitaires,
  • les transformations numériques,
  • le profilage,
  • le suivi,
  • les services publics,
  • les communications de masse,
  • les coentreprises,
  • les opérations globales.

Source: "résumé-ébauche du règlement général de protection des données" • PwC