Pourquoi et quand le RGPD rentrera-t-il en vigueur ?

Les 28 pays de l’Union Européenne (UE) vont devoir se mettre en conformité à partir du 25 mai 2018 avec la nouvelle réglementation qui vise à unifier la protection des données au sein de l’UE. Pour ce faire, toutes les entreprises européennes devront avoir établi à cette date un plan d’action réaliste qui leurs permettra d’atteindre d’ici 2021 les objectifs fixés par le RGPD. Ce texte connu sous l’acronyme « RGPD » Règlement Général sur la Protection des Données a été approuvé par le parlement européen en 2016.

En France, le projet de loi qui adapte au cadre juridique européen la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés1 a été adopté en avril 2018 par le parlement et le sénat.

Protection données internautes européen

Au travers du RGPD, l’Europe répond à une vraie préoccupation de ses citoyens par la mise en place :

  • D’une meilleure protection de la vie privée des internautes européens.
  • D’une harmonisation inter-états des règlements qui régissent la protection des données : en effet, il existe actuellement dans les 28 pays de l’EU une multitude de lois disparates et incompatibles.

Quelles sont les entreprises concernées par le RGPD ?

Dès lors, qu’elles gèrent des données personnelles dans le cadre de leurs activités toutes les entreprises (qu’elles soient publiques ou privées, responsables de traitement des données ou sous-traitantes) sont concernées par le RGPD. Ce règlement s’appliquera également aux entreprises non implantées dans l’UE, à partir du moment où elles collectent des données personnelles concernant des résidents de l’UE.

Quels sont les objectifs et les principes clés du RGPD ?

Objectifs du RGPD

Le RGPD concerne uniquement la protection des données rattachées à des personnes physiques. Il encadre les conditions de collecte et d’utilisation des données dites personnelles. Pour poursuivre cet objectif, le RGPD se base sur trois grands principes :

  • « privacy by design » : Les logiciels doivent être conçus de telle manière qu’ils protègent les données personnelles.
  • « security by default » : Les sociétés doivent collecter uniquement les données qui sont nécessaires à l’utilisation de leurs services2.
  • « l’accountability » : les entreprises doivent tenir des registres qui retracent les principes de sécurisation3. Ces registres feront foi qu’elles répondent aux exigences en matière de sécurité des données personnelles.

Qu’est-ce qu’une donnée personnelle ? 

Les données personnelles : désignent toutes données relatives à une personne physique identifiée ou pouvant être identifiée directement ou indirectement grâce à cette donnée. Par exemple, l’adresse email, l’activité professionnelle, l’âge, le sexe…

Mais alors, qu’est-ce qu’une donnée sensible ?

Les données sensibles : sont celles qui font apparaître, directement ou indirectement pour un individu, les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou l’appartenance syndicale, ou qui sont relatives à la santé ou à l’orientation sexuelle.

Les moyens coercitifs seront-ils à la hauteur de l’enjeu ?

En cas de non-conformité, la CNIL pourra imposer au contrevenant, selon l’infraction constatée, d’importantes amendes : jusqu’à à 20 M€, ou, dans le cas d’une entreprise d’un montant de 2 à 4% du chiffre d’affaires annuel mondial (art. 83 du RGPD).

Concrètement comment va se passer la mise en œuvre du RGPD ?

En route vers une vraie culture de la protection des données :

« La mise en œuvre du RGPD va entrainer la disparition de nombreuses formalités auprès de la CNIL. En contrepartie, la responsabilité des entreprises va être renforcée. En effet elles devront in-fine assurer une protection optimale des données à chaque instant et être en mesure de la démontrer en documentant leur conformité. Pour y arriver elles devront conduire une véritable démarche de mise en conformité, ceci dans un délai raisonnable estimé par la CNIL de 3 ans à compter du 25 mai 2018 ».

La CNIL entend accompagner les opérateurs dans leur démarche de mise en conformité et faciliter la transition entre les formalités préalables prévues par la loi du 6 janvier 1978 et les nouvelles obligations règlementaires exigées par le RGPD.

Pour ce faire la CNIL qui reste en charge du contrôle lié au traitement des données personnelles en France, distinguera deux types d’obligations s’imposant aux professionnels :

Les principes fondamentaux de la protection des données qui restent pour l’essentiel inchangés (loyauté du traitement, pertinence des données, durée de conservation, sécurité des données, etc). Ils continueront à faire l’objet de vérifications rigoureuses par la CNIL »
Les nouvelles obligations ou les nouveaux droits résultants du RGPD (droit à la portabilité, analyse d’impact, etc), les contrôles opérés par la CNIL auront essentiellement pour but, dans un premier temps, d’accompagner les organismes vers une bonne compréhension et la mise en oeuvre opérationnelle des textes.

Pour aller plus loin :

Nous vous invitions, à consulter les documents ci-dessous :

Le « Règlement européen sur la protection des données : ce qui change pour les professionnels » réalisé par la CNIL

Le texte intégral du RGPD

Comment la CNIL vous accompagne dans cette période transitoire ?

RGPD : se préparer en 6 étapes

Quel impact de la mise en conformité sur les métiers de l’entreprise 

Réponses aux Principales Questions sur le RGPD

Les Principes du RGPD

Pour réussir à intégrer le RGPD à votre activité, nous publierons dans les prochains jours, un nouvel article avec toutes nos recommandations. En le consultant, vous pourrez identifier facilement tous les outils que nous mettons à votre disposition pour vous aider à être en conformité avec cette nouvelle loi.


1 Dite loi « informatique et libertés »
2 Pour une application qui n’en n’aurait nul besoin, il ne sera plus possible d’accéder à certaines informations sur les smartphones comme par exemple les contacts dans le répertoire, la géolocalisation, la caméra.
3 En particulier le consentement des individus quant à la collecte et le traitement de leurs données personnelles devra être clair et explicite. Ce consentement pourra être retiré à tout moment.