Le Règlement Général de Protection des Données ou RGPD est un texte voté par la Commission européenne pour encadrer les pratiques traitant les données à caractère personnel des citoyens européens.

Le RGPD est applicable dans tous les États membres de l’Union européenne, dont la France. Il impose notamment à toutes les personnes, organismes publics ou entreprise traitant des données à caractère personnel de :

  • Demander l’accord[1] aux personnes avant collecter leurs données à caractère personnel ;
  • Informer les personnes des finalités des traitements qui sont appliqués à leurs données à caractère personnel ;
  • Permettre aux personnes de s’opposer à ce que leurs données à caractère personnel soient collectées ;
  • Transmettre une copie des données à caractère personnel aux personnes qui en font la demande ;
  • Effacer les données à caractère personnel des personnes qui en font la demande.

Le texte impose aussi l’obligation de sécuriser les données à caractère personnel des personnes, c’est-à-dire de s’assurer qu’elles ne puissent pas être consultées par une personne non autorisée.

Dans le cas où les données à caractère personnel des personnes seraient perdues ou auraient été lues par une personne non habilitée, le règlement demande à ce que les personnes et les autorités soient prévenues.

Chaque entité doit, par ailleurs, nommer un Délégué à la Protection des Données[2], qui a pour tâche de contrôler le respect du règlement au sein de la structure et de répondre aux demandes des utilisateurs.

La bonne application de ce règlement est réalisée par les autorités de contrôle de chaque pays, qui ont la capacité de procéder à des contrôles, d’enquêter et de sanctionner. En France, la Commission Nationale de l’Informatique et des Libertés (CNIL) est chargée de cette tâche.

Notes et références

  1. Les textes ne parlent pas « d’accord » de la personne mais de son « consentement ».
  2. La notion de Délégué à la Protection des Données est souvent abrégée par DPO, acronyme de « Data Protection Officer ».