Le règlement général sur la protection des données, ou RGPD, est un cadre juridique qui fixe des lignes directrices pour la collecte et le traitement des données personnelles des individus qui vivent dans l’Union européenne (UE). Voici plus d’information sur l’accountability dans la protection des données.
Qu’est-ce que le règlement général sur la protection des données (RGPD) ?
Le Règlement général sur la protection des données, ou RGPD, est un cadre juridique qui fixe des lignes directrices pour la collecte et le traitement des données personnelles des personnes qui vivent dans l’Union européenne (UE).
Le RGPD a été établi le 14 avril 2016 par l’Union européenne et l’Espace économique européen (EEE) et est entré en vigueur le 25 mai 2018. Le RGPD a remplacé la directive sur la protection des données de 1995, qui avait été créée alors qu’internet n’en était qu’à ses débuts. Contrairement à la directive sur la protection des données, le RGPD est un règlement, il est donc contraignant, applicable et exécutoire. Cependant, il offre une certaine flexibilité pour que certaines parties du règlement puissent être ajustées par les différents États membres.
En quoi consiste le RGPD ?
Le RGPD est l’une des lois les plus strictes au monde en matière de sécurité et de confidentialité qui impose des obligations aux organisations, où qu’elles soient, tant qu’elles ciblent ou collectent des données liées à des personnes dans l’Union européenne. Le RGPD infligera des amendes sévères à ceux qui enfreignent ses normes de confidentialité et de sécurité, les sanctions pouvant atteindre des dizaines de millions d’euros.
Le RGPD repose sur sept principes : 1) légalité, équité et transparence ; 2) limitation de la finalité ; 3) minimisation des données ; 4) exactitude ; 5) limitation du stockage ; 6) intégrité et confidentialité (sécurité) ; et 7) responsabilité. L’obligation de rendre des comptes est un nouvel ajout à la réglementation sur la protection des données.
Qu’est-ce qu’une donnée personnelle et une personne concernée sous RGPD ?
Le RGPD définit spécifiquement les « données personnelles » comme toute information qui se rapporte à une personne physique, c’est-à-dire une personne qui peut être identifiée directement ou indirectement. Cela inclut :
- Nom
- Numéro d’identification
- Données de localisation
- Adresse physique
- Adresse électronique
- Adresse IP
- Balise d’identification par radiofréquence
- Photographie
- Vidéo
- Enregistrement vocal
- Données biométriques (rétine des yeux, empreinte digitale, etc.)
- Un identifiant en ligne d’un ou plusieurs facteurs spécifiques à l’identité physique, physiologique, génétique, mentale, économique, culturelle ou sociale d’une personne physique.
Le RGPD propose cinq définitions pour les « personnes concernées », variant de toute donnée personnelle physiquement située dans l’UE aux citoyens de l’UE.
- Situé dans l’UE
- Résident de l’UE
- Citoyen de l’UE
- Un résident/citoyen de l’UE situé n’importe où
- Données personnelles dans l’UE
Situé dans l’UE : Toute personne se trouvant physiquement au sein des frontières de l’UE et dont les données sont traitées. Par exemple, un citoyen de l’UE, qui se trouve physiquement dans l’UE, qui fournit des informations personnelles par l’achat d’un produit.
Résident de l’UE : Toute personne qui réside officiellement dans l’UE, indépendamment de sa citoyenneté. Simplement, l’individu se trouve physiquement dans l’UE. Par exemple, un citoyen non européen qui étudie à l’étranger dans l’UE.
Citoyen de l’UE : Toute personne ayant la citoyenneté d’un pays de l’UE et se trouvant physiquement dans l’UE.
Un résident/citoyen de l’UE situé n’importe où : Toute personne ayant une résidence/citoyenneté dans l’UE dont les données sont traitées, indépendamment de l’endroit où le résident/citoyen est physiquement situé au moment du traitement. Par exemple, une personne concernée pourrait être un citoyen de l’UE, qui se trouve aux États-Unis et qui fournit des informations personnelles lors de l’achat d’un produit.
Données personnelles dans l’UE : Toute personne dont les données personnelles se trouvent dans l’UE, indépendamment de sa résidence, sa citoyenneté ou de son emplacement physique. Par exemple, un citoyen non européen, qui peut ou non se trouver dans l’UE, mais qui fournit des informations personnelles par le biais de l’achat d’un produit.