15 questions & réponses sur le règlement RGPD (ou GDPR)
Dans notre activité de conseil en CRM et Données Clients, nous sommes parfois amenés à accompagner les entreprises dans leur démarche de mise en conformité avec le règlement RGPD (GDPR en anglais). A ce titre, nous menons des sessions de vulgarisation du RGPD et répondons aux questions les plus courantes.
Dans cet article synthétique, nous avons souhaité apporter des réponses claires, précises et courtes aux 15 principales questions que pose le Règlement Général sur la Protection des Données. L’objectif est de vous permettre de balayer les enjeux clés du règlement en 3 minutes top chrono.
Article mis à jour le 22 septembre 2023
1 – Le GDPR, c’est quoi ?
Le GDPR ou RGPD est le règlement général sur la protection des données personnelles. Il vise à renforcer et à unifier les règles de protection des données personnelles des citoyens de l’UE.
RGPD ou GDPR ?
- GDPR est l’acronyme de General Data Protection Regulation.
- RGPD est l’acronyme de Règlement Général de la Protection des Données. Il s’agit de la traduction française officielle de GDPR.
GPDR ou RGPD, c’est la même chose ! Chez CustUp, nous employons les deux notions.
2 – Depuis quand s’applique-t-il ?
Le GPDR est entré en vigueur le 25 mai 2018 dans tous les Etats membres de l’Union européenne.
Pour mettre en conformité le droit national au cadre européen, une nouvelle Loi Informatique et Liberté a été promulguée par le Parlement français le 20 juin 2018.
3 – Pourquoi un nouveau règlement ?
Le nouveau règlement européen sur la protection des données poursuit trois principaux objectifs :
- Renforcer la confiance des citoyens européens qui confient leurs données en améliorant leur protection et leur confidentialité.
- Responsabiliser les entreprises.
- Uniformiser les législations au niveau européen.
Pour mieux comprendre les enjeux du règlement, découvrez notre guide complet sur l’essentiel à connaître sur le GDPR / RGPD : définition, périmètre, principes et mesures.
4 – Qui est concerné par le RGPD ?
Le RGPD s’applique à :
- Toutes les organisations traitant des Données à Caractère Personnel (DCP) de citoyens européens. Cela inclut les entreprises, les associations, les organismes publics ou privés, quelle que soit leur taille, dès lors qu’elles traitent des données personnelles.
- Les organisations établies hors de l’UE : Si elles proposent des biens ou des services aux résidents de l’UE (qu’elles soient gratuites ou payantes) ou si elles surveillent le comportement des résidents de l’UE (par exemple, par le biais du suivi en ligne), elles sont également concernées.
- Les sous-traitants : Les entreprises qui traitent des données personnelles pour le compte d’autres entreprises sont également soumises au RGPD, contrairement aux directives antérieures où la responsabilité principale incombait au responsable du traitement.
Découvrez quels sont les impacts du GDPR sur l’organisation et le fonctionnement de votre entreprise.
5 – Que sont les DCP ?
Les DCP sont les « Données à Caractère Personnel ». Elles désignent toutes les données qui identifient une personne : état civil, email, adresse, téléphone, données bancaires, etc.
Certaines DCP sont dites sensibles : opinions religieuses, politiques, syndicales, données de santé, données biométriques, numéro de sécurité sociale, etc.
6 – Qu’est-ce qu’un « traitement » ?
Le RGPD fixe les règles encadrant le traitement des DCP des citoyens européens.
Au regard du RGPD, un « traitement » désigne toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel.
Cela peut inclure la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction.
7 – Un « responsable de traitement », c’est quoi ?
Le responsable de traitement est la personne (physique ou morale) qui détermine pourquoi et comment les DCP doivent être traitées.
Le responsable de traitement n’est pas nécessairement la personne qui exécute le traitement.
Le RGPD impose des obligations spécifiques aux responsables de traitement.
CustUp vous accompagne dans votre Projet RGPD
Les sanctions en cas de non-respect du RGPD peuvent représenter des sommes très importantes. Il est crucial pour toutes les entreprises, grandes comme petites, de se mettre en conformité.
Notre équipe composée d’experts en Données Clients, IT et Réglementation a guidé de nombreuses organisations dans leur démarche RGPD, couvrant les aspects stratégiques, opérationnels et techniques. Nous assistons les entreprises dans diverses étapes de leur transition :
- Détermination du périmètre d’application du RGPD.
- Évaluation des procédures actuelles de collecte de consentement, de stockage et de traitement des données.
- Planification et priorisation des tâches pour la conformité.
- Mise en place graduelle des initiatives.
Les préoccupations actuelles de nos clients portent principalement sur :
- La transparence envers les individus, un élément central du RGPD. Cette transparence est liée au recueil des consentements, pilier essentiel du règlement.
- L’exercice étendu des droits relatifs aux données, y compris l’accès, l’effacement, la limitation et la portabilité. Comment organiser et quels processus adopter pour garantir ces droits ?
- La sécurisation des données, où nous aidons à la protection des données, aux audits, et à la mise en place de procédures en cas de faille.
- La documentation des processus de traitement, incluant la création de registres et de journaux obligatoires.
Chaque accompagnement que nous proposons est taillé sur mesure, adapté aux besoins uniques de chaque client, que ce soit dans le domaine B2B ou B2C.
Pour en apprendre davantage ou échanger avec nos spécialistes sur vos enjeux RGPD, contactez-nous.
Besoin d'échanger sur le RGPD ? Contactons-nous !8 – Qu’est-ce qu’un « sous-traitant » ?
Un sous-traitant désigne une société qui traite des DCP pour le compte des responsables de traitement. Par exemple, les partenaires marketing (agences, éditeurs SaaS, call centers externalisés) peuvent avoir le statut de sous-traitant.
Les responsables de traitement ont le devoir de s’assurer que leurs sous-traitants respectent la réglementation.
9 – Quid de la « finalité du traitement » ?
Un traitement de DCP doit avoir un objectif, une finalité légale et légitime au regard de l’activité professionnelle du responsable de traitement.
10 – En quoi consiste l’obligation de transparence ?
Le GPDR impose une transparence sur les traitements effectués, sur les finalités de la collecte, sur la durée de conservation des DCP…
Les personnes ont le droit de connaître les raisons de la collecte de leurs DCP, les traitements qui en sont faits et les droits dont ils disposent.
Découvrez les 4 grandes étapes à suivre pour organiser votre mise en conformité GDPR.
11 – … et le « consentement » ?
Certains traitements nécessitent l’obtention d’un consentement explicite et éclairé de la personne concernée. D’autres pas.
Par exemple, il faut un accord pour l’utilisation d’une adresse mail en prospection alors que cet accord n’est pas nécessaire pour une utilisation dans le cadre de la gestion d’une commande ou du SAV.
La gestion du recueil des consentements est une étape clé dans la démarche de mise en conformité GDPR.
Pour aller plus loin sur cette question et sur d’autres, découvrez 6 questions autour des enjeux du GDPR posées par CustUp à 2 experts : Clémence Scottez (CNIL) et Olivier Iteanu (Avocat).
12 – Quels sont les droits des personnes ?
L’un des principaux enjeux du RGPD est de renforcer le droit des personnes dont les données sont traitées :
- Droit d’accès : Connaître et obtenir une copie des données traitées.
- Droit de rectification : Corriger des données inexactes ou incomplètes.
- Droit à l’effacement : Demander la suppression des données dans certaines situations.
- Droit à la limitation : Restreindre le traitement de ses données.
- Droit à la portabilité : Recevoir ses données dans un format lisible et les transférer.
- Droit d’opposition : S’opposer au traitement des données dans certains cas.
- Décision automatisée et profilage : Ne pas être sujet uniquement à une décision automatisée.
- Réclamation : Déposer une plainte auprès d’une autorité si le RGPD est violé.
13 – La question de la sécurité des données
Autre priorité du RGPD : assurer la sécurité des données personnelles. Les obligations en ce domaine sont renforcées. Le responsable de traitement doit prendre les mesures techniques et organisationnelles pour assurer la sécurité, la confidentialité, l’intégrité et la disponibilité des données.
Découvrez comment réaliser le diagnostic des données, des traitements et de la sécurité dans le cadre du GDPR.
14 – Qu’est-ce qu’un DPO ?
Le DPO désigne le Data Protection Officier en anglais, ou Délégué à la Protection des Données en français. C’est la personne qui, dans une entreprise, joue le rôle de référent RGPD.
De manière indépendante, il conseille les responsables du traitement dans la démarche de mise en conformité et veille à ce que le règlement soit bien appliqué.
Toutes les entreprises ne sont pas obligées d’avoir un DPO.
15 – Quelles sont les sanctions en cas de non-conformité au RGPD ?
Le législateur a prévu des sanctions lourdes en cas de non-application du RGPD :
- Entre 2 à 4% du CA annuel global du groupe.
- OU entre 10 et 20 millions d’euros.
Nous avons volontairement voulu rester succincts dans les réponses pour que vous puissiez avoir un aperçu global du GDPR sans vous perdre. N’hésitez pas à consulter notre site pour approfondir chacun des sujets associés à ce règlement.
Consultante experte en Données Clients, Florence Schamberger accompagne les organisations dans la construction et l’exécution de leur démarche de mise en conformité GDPR.
Consultant en Données Clients et IT, Yves Gattegno produit les missions de mise en conformité GDPR, en binôme avec Florence.