Blog
Les objectifs et conséquences du RGPD
5 mins

Le RGPD : objectifs et conséquences

Publié le
23/4/24

TOC Example

La contrathèque

Accédez gratuitement à nos modèles de contrats et templates

Avec l’entrée en vigueur du RGPD, l’objectif est triple : donner du pouvoir à ceux qui partagent leurs données personnelles, responsabiliser les entreprises dans cette démarche, et enfin harmoniser la réglementation à l’échelle de l’Union Européenne. 

Comment atteindre les objectifs du RGPD ? Quels sont les principes à respecter pour être en conformité avec le RGPD ? Découvrez toutes les réponses dans notre article.

Mini-sommaire : 

  1. RGPD : définition 
  2. Quels sont les objectifs du RGPD à l’échelle d’une entreprise ? 
  3. Quelles sont les conséquences du RGPD ?
  4. Conclusion 

RGPD : définition 

Le RGPD est l’acronyme pour “Règlement Général sur la Protection des Données”. Il s’agit d’un règlement européen venu harmoniser les législations en droit interne en matière de protection des données personnelles. 

Vous êtes concerné si : 

  • vous traitez des données personnelles pour vous-même (responsable de traitement) ou pour le compte de quelqu’un (sous-traitant) ;
  • vous êtes établis sur le territoire de l’Union européenne (ou bien votre activité s’adresse directement à des résidents européens). 

Quels sont les objectifs du RGPD à l’échelle d’une entreprise ?

Responsabiliser les entreprises 

Le RGPD a pour objectif de responsabiliser les entreprises qu’elles aient le statut de responsable de traitement ou de sous-traitant.

Ces derniers sont les acteurs principaux du RGPD. Ils doivent prendre toutes les mesures nécessaires pour respecter la conformité et être proactifs comme l’expliquent très bien les notions de :

  • Privacy by Design

Ce principe a une portée très forte puisque la protection de la vie privée et des données personnelles doit être prise en compte dans le développement de produits ou de services dès le départ.

  • Accountability 

Les entreprises doivent être également capables de démontrer cette conformité : documentation, description des process internes,  études, des audits, formation RGPD délivrée aux équipes, certification RGPD, etc. 

Exercice des droits

Si vous avez bien compris la logique du RGPD, l’idée est de redonner du pouvoir aux individus sur leurs données personnelles. Et pour que cela soit possible, le RGPD leur confère plusieurs droits : 

  • le droit d’accès : un utilisateur a le droit de savoir si ses données personnelles sont traitées. Cela lui donne aussi la possibilité d’en obtenir une copie lisible.
  • le droit de rectification : l’erreur est humaine ! Une personne doit pouvoir modifier, corriger ou mettre à jour ses données à caractère personnel afin de limiter l'utilisation d'informations erronées ;
  • le droit d’opposition : comme son nom l’indique, une personne peut s’opposer à ce que ses données soient traitées pour un objectif précis ;
  • le droit à l’effacement : une personne a la possibilité d’obtenir l’effacement de ses données ;
  • le droit à la limitation : il est possible d’arrêter temporairement l’utilisation des données concernant une personne ;
  • le droit à la portabilité : une personne peut récupérer une partie de ses données dans un format lisible par machine, pour son propre usage ou pour les fournir à un autre organisme ;
  • le droit à l’intervention humaine : face à un profilage ou une décision entièrement automatisée, une personne a le droit de réclamer un examen par un être humain;


Quelles sont les conséquences du RGPD ?

Le RGPD est porteur de nombreux principes. Néanmoins, au-delà de la théorie, il faut bien comprendre quels sont les effets de cette réglementation sur le terrain. Vous allez le voir, les chantiers sont nombreux.

Transparence et information 

La transparence signifie que vous devez fournir des informations exhaustives et précises aux individus concernés afin de les renseigner sur :

  • les raisons pour lesquelles leurs données sont collectées ;
  • la façon dont leurs données seront traitées ;
  • la manière dont ils peuvent maîtriser leurs données (exercice des droits).

Les actions à mettre en place : 

  • indications sur les éléments suivants : les coordonnées du responsable de traitement, les finalités, les bases légales, le caractère obligatoire ou non du recueil des données, les catégories de destinataire des données, la durée de conservation, droit d’introduire une réclamation auprès de la CNIL, les coordonnées du DPO s’il y en a un ;
  • rédaction d’une documentation vraiment lisible grâce à un langage simple et accessible. Il est par exemple intéressant de faire un effort sur la politique de confidentialité grâce notamment au légal design ou à des schémas.

Principe de finalité 

Le but de la collecte et de l’enregistrement des données doit répondre à une finalité précise, légale et légitime. Par exemple, vous ne pouvez donc pas récolter “au cas où” le numéro de la carte d’identité d’une personne si vous n’en avez pas réellement besoin. 

Les actions à mettre en place :  

  • information des individus sur les finalités de la collecte de leurs données dès le premier point de contact (dans la politique de confidentialité ou case à cocher pour obtenir un consentement explicite après explication) ;
  • documentation par le biais notamment d’un registre de traitements ;
  • formation du personnel qui est en première ligne lors de la collecte et du traitement des données ;
  • révision régulière pour vous assurer que les finalités restent pertinentes.

Durée de conservation limitée 

Une fois l'objectif de la collecte de données atteint ou la période légale de conservation expirée, les données doivent être soit supprimées, soit anonymisées de manière à ce que les individus ne puissent plus être identifiés.

Les actions à mettre en place :  

  • Définition de règles claires pour la durée de conservation basées sur les exigences légales, les référentiels de la CNIL, les besoins opérationnels et les droits des personnes concernées ;
  • Mise en place des procédures automatiques ou manuelles pour supprimer ou anonymiser les données personnelles une fois la période de conservation écoulée ;
  • Information des individus sur la durée de conservation de leurs données et possibilité pour les individus de retirer leur consentement ;
  • Sécurité des données pendant la conservation pour prévenir les accès non autorisés, les pertes ou les altérations.

La sécurité et la confidentialité 


La sécurité des données englobe l'ensemble des process implémentés pour protéger les données personnelles contre les accès non autorisés, les altérations, les divulgations ou les destructions non intentionnelles ou illégales. 

Les actions à mettre en place :  

  • Évaluation des risques pour détecter les risques et calculer leur dangerosité en cas de brèche de sécurité. Des audits devront être régulièrement menés pour tester l’efficacité des dispositifs en place ;
  • Mise en place d’une politique de sécurité : procédures à suivre pour contrôler les accès, formations sur les bonnes pratiques auprès des équipes, planification des réponses aux incidents, etc.


Droits des personnes

Les droits des personnes, que nous avons détaillés précédemment, se réfèrent à l'ensemble des droits accordés aux individus sur leurs données personnelles. Il vous appartient d’être réactif en cas de demande.

Les actions à mettre en place :  

  • Établissement d’un processus facile et accessible pour permettre aux individus d'exercer leurs droits, comme un formulaire en ligne ou une adresse e-mail dédiée ;
  • Rédaction de politiques de confidentialité claires, transparentes et accessibles qui informent les individus de leurs droits et de la manière dont ils peuvent les exercer ;
  • Implémentation de mesures pour faciliter l'exercice des droits par le biais d’un logiciel qui vous donne une vision exhaustive des différents droits exercés (même ceux exercés auprès du sous-traitant).

Conclusion 

La mise en conformité au RGPD passe nécessairement par la compréhension des grands principes du RGPD et de ses objectifs

Le règlement européen, à travers des principes de sécurité des données personnelles, de pertinence, de finalité mais aussi de conservation, permet d’harmoniser le cadre légal à l’échelle de l’Union européenne, et de sanctionner les entreprises en cas de non conformité. Contactez-nous pour vous mettre à jour !

L'abonnement juridique illimité pour les entrepreneurs

Fonds publics, conflit d'associés, mise en conformité RGPD, M&A, contentieux : découvrez toutes nos offres conçues pour les startups.