RGPD signifie General Data Protection Regulation (règlement général sur la protection des données) et était une mise à jour de la législation de l’Union européenne (UE) sur la protection des données, convenue en 2016 et mise en application en 2018. Il a suivi la directive sur la protection des données de 1998 et a réussi à harmoniser la législation de l’UE sur la protection des informations en un règlement commun.
Cela signifie qu’il concerne toutes les institutions, quel que soit le nombre de membres du personnel qu’elles emploient et le secteur dans lequel elles travaillent, au Royaume-Uni et en Irlande du Nord. Elle suit l’approche du marché unique de l’UE, ce qui signifie que toutes les entreprises basées dans l’UE sont couvertes, ainsi que les organisations extérieures qui commercent avec les citoyens de l’UE ou leur offrent des biens.
Tous les types d’organisations qui traitent des données de toute nature sont couverts par la législation, y compris les organisations privées, les institutions publiques, les organisations à but non lucratif et les organisations caritatives de toute nature. Elles doivent être classées en deux catégories en vertu de la loi : les responsables du traitement et les sous-traitants. Les responsables du traitement sont les organisations qui veulent collecter des données auprès de particuliers, mais qui ne les collectent pas nécessairement elles-mêmes. Ils vont ordonner à des sous-traitants, qui sont des parties externes distinctes de l’organisation, de collecter et d’analyser les données.
Quels sont les sept principes du RGPD ?
La directive sur la protection des données a adopté sept principes directeurs très similaires, mais la nouvelle loi les a actualisés et développés. Selon l’ICO[1], les sept principes RGPD sont les suivants :
-
Légalité, équité et transparence
Selon le nom, tous les renseignements traités doivent l’être dans le cadre d’un processus ouvert et équitable, afin d’éviter les soupçons des organismes d’application de la loi. Il est plus probable que les organisations enfreignent la loi si elles ne discutent pas ouvertement de leur procédure de traitement des informations des personnes.
-
Limitation de la finalité
Pour se conformer à la RGPD, les entreprises ne peuvent pas demander de l’information qui n’a pas un but précis pour ce qu’elles font. Les particuliers et les organismes d’application de la loi peuvent se demander pourquoi un service particulier semble demander des renseignements non pertinents pour le service qu’il fournit, ce qui est illégal en vertu de la nouvelle loi. Toutefois, » le traitement ultérieur à des fins d’archivage dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques « [2] se voit accorder plus de libertés dans ce domaine.
-
La minimisation des données
Ce principe garantit que toute donnée recueillie ne suffit qu’aux besoins mêmes de l’entreprise ou du service qu’elle offre. Les organisations ne peuvent ni demander ni obtenir des informations inutiles et non pertinentes pour leur service, afin d’éviter que des personnes ne divulguent des informations qui ne sont pas utilisées dans le cadre du traitement.
-
Exactitude
L’exactitude fait référence à la nature des données qui doivent être aussi précises et à jour que possible. Toute donnée stockée dans une organisation d’une personne qui est ancienne, c’est-à-dire une ancienne adresse ou un ancien numéro de téléphone, doit être effacée immédiatement et remplacée par les informations les plus récentes. Ce principe stipule que « toutes les mesures raisonnables »[3] doivent être prises pour rendre les informations aussi précises que possible.
-
Limitation de la conservation
Ce principe concerne la suppression des informations à la demande d’une personne, ou lorsqu’elles sont inexactes ou ne sont plus nécessaires. Les données des personnes ne doivent pas être conservées si elles n’utilisent plus votre service ou ne sont plus clientes des entreprises, quelle que soit la durée de leur utilisation. Les personnes peuvent demander à être retirées des fichiers et des dossiers des entreprises, et les organisations doivent le faire si elles en font la demande.
-
Intégrité et confidentialité
Le dernier principe garantit l’anonymat des personnes et la confidentialité des données. Toutes les données doivent être traitées de manière sécurisée, cryptées et tenues à l’écart d’autres entreprises et individus. Ce principe est strictement lié à la sécurité des données et couvre la « protection contre les traitements non autorisés ou illicites »[4] ainsi que la « perte, la détérioration ou la destruction accidentelle »[5] des informations.
-
Responsabilité
Les anciennes lois sur la protection des données ne prévoyaient pas de sanctions sévères pour l’utilisation abusive ou la vente illégale de données personnelles. Cependant, la loi de 2018 rend les organisations beaucoup plus responsables de leurs actions, car si elles sont reconnues coupables, les entreprises pourraient devoir faire face à des amendes énormes. De plus en plus d’organisations sont jugées responsables de violations de données et de mauvaise gestion des informations.