GDPR

Aperçu

Le Règlement Général sur la Protection des Données (RGPD) est une loi complète sur la confidentialité et la sécurité des données adoptée par l’Union européenne. Adopté en 2016 et en vigueur depuis le 25 mai 2018, il régit la manière dont les données personnelles des citoyens de l’UE sont collectées, traitées, stockées et transférées.

Le RGPD s’applique à toute organisation mondiale qui traite des données personnelles de résidents de l’UE, ce qui en fait la réglementation sur la confidentialité la plus influente au monde. Il a inspiré des lois similaires en Californie (CCPA), au Brésil (LGPD) et dans d’autres juridictions.

Principes clés

|| Principe | Description | ||———–|————-| || Licéité, loyauté, transparence | Le traitement doit avoir une base légale ; les personnes concernées doivent être informées | || Limitation des finalités | Les données ne sont collectées que pour des finalités spécifiées, explicites et légitimes | || Minimisation des données | Seules les données adéquates, pertinentes et nécessaires au but sont collectées | || Exactitude | Les données personnelles doivent être exactes et tenues à jour | || Limitation de la conservation | Les données ne sont conservées que le temps nécessaire | || Intégrité et confidentialité | Des mesures de sécurité appropriées doivent être en place | || Responsabilité | Le responsable du traitement est responsable de la démonstration de la conformité |

Bases légales du traitement

  1. Consentement — consentement clair, affirmatif et spécifique de la personne concernée
  2. Contrat — traitement nécessaire à un contrat ou à des mesures précontractuelles
  3. Obligation légale — traitement requis par la loi
  4. Intérêts vitaux — protéger la vie de quelqu’un
  5. Mission d’intérêt public — exercice d’autorité officielle
  6. Intérêts légitimes — intérêts légitimes du responsable du traitement ou d’un tiers

Droits des personnes concernées

  • Droit à l’accès à leurs données
  • Droit à la rectification des données inexactes
  • Droit à l’effacement (« droit à l’oubli »)
  • Droit à la restriction du traitement
  • Droit à la portabilité — recevoir les données dans un format lisible par machine
  • Droit à l’opposition au traitement
  • Droits liés à la prise de décision automatisée et au profilage

Sanctions

  • Jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires mondial annuel (le montant le plus élevé retenu) pour les violations graves
  • Jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires mondial annuel pour les violations moins graves

Rôles clés

  • Responsable du traitement — détermine les finalités et les moyens du traitement
  • Sous-traitant — traite les données pour le compte du responsable du traitement
  • Délégué à la protection des données (DPO) — requis pour les autorités publiques et les organisations effectuant un suivi systématique à grande échelle ou le traitement de données sensibles

Relation avec d’autres cadres

  • Critère de confidentialité du SOC 2 — le SOC 2 aide à démontrer la conformité au RGPD
  • NIST Privacy Framework — complète la mise en œuvre du RGPD
  • technologies/security-frameworks/nist-csf.md | NIST Cybersecurity Framework — contexte de cybersécurité plus large
  • technologies/security-frameworks/iso-27001.md | ISO 27001 — gestion de la sécurité de l’information soutenant les exigences de sécurité du RGPD