RGPD

Vue d'ensemble

Le Règlement Général sur la Protection des Données (RGPD) est la pierre angulaire du droit européen de la protection des données. Il a remplacé la Directive sur la protection des données 95/46/CE et a considérablement renforcé les droits des individus sur leurs données personnelles tout en imposant des obligations complètes aux responsables du traitement et aux sous-traitants.^[1]

Le RGPD s'applique à toute organisation traitant des données personnelles d'individus dans l'UE, quel que soit le lieu d'établissement de l'organisation. Cette portée extraterritoriale a fait du RGPD une norme mondiale de facto pour la protection des données.^[2]

Qui doit se conformer

• Responsables du traitement : Organisations qui déterminent les finalités et les moyens du traitement des données personnelles
• Sous-traitants : Organisations qui traitent des données personnelles pour le compte des responsables
• Entités hors UE : Toute organisation offrant des biens/services aux résidents de l'UE ou surveillant leur comportement
• Tous les secteurs : S'applique à tous les secteurs avec des exceptions limitées pour les forces de l'ordre et la sécurité nationale

Exigences clés pour les développeurs

Base légale du traitement

Chaque opération de traitement doit avoir une base légale valide selon l'article 6 :^[3]

1. Consentement : Libre, spécifique, éclairé et univoque
2. Contrat : Nécessaire à l'exécution d'un contrat avec la personne concernée
3. Obligation légale : Exigée par le droit de l'UE ou d'un État membre
4. Intérêts vitaux : Protection de la vie de la personne concernée ou d'une autre personne
5. Intérêt public : Nécessaire à l'exécution d'une mission d'intérêt public ou relevant de l'autorité publique
6. Intérêts légitimes : Équilibrés avec les droits de la personne concernée (non disponible pour les autorités publiques)

Exigences techniques

• Minimisation des données : Collecter uniquement ce qui est nécessaire à la finalité spécifiée
• Limitation de la conservation : Conserver les données personnelles uniquement aussi longtemps que nécessaire
• Intégrité et confidentialité : Mettre en œuvre des mesures de sécurité appropriées
• Protection des données dès la conception et par défaut : Intégrer la protection des données dans les systèmes dès le départ (Article 25)^[4]

Droits des personnes concernées

Les applications doivent prendre en charge les droits suivants :

Notification des violations

• À l'autorité de contrôle : Dans les 72 heures après en avoir pris connaissance (Article 33)^[5]
• Aux personnes concernées : Sans délai excessif en cas de risque élevé pour les droits et libertés (Article 34)
• Documentation : Tenir un registre de toutes les violations, qu'elles soient notifiées ou non

Sanctions

Le RGPD établit une structure de sanctions graduées :

• Niveau inférieur : Jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial, selon le montant le plus élevé
• Niveau supérieur : Jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial, selon le montant le plus élevé^[6]

Amendes majeures infligées incluent :

• Amazon (Luxembourg, 2021) : 746 millions d'euros
• Meta/Facebook (Irlande, 2023) : 1,2 milliard d'euros
• Google (France, 2022) : 90 millions d'euros

Liste de contrôle pour la mise en œuvre

• Identifier toutes les activités de traitement des données personnelles
• Établir une base légale pour chaque opération de traitement
• Mettre en place la gestion du consentement lorsque cela est applicable
• Créer des avis de confidentialité répondant aux exigences de transparence
• Mettre en place des mécanismes de gestion des demandes des personnes concernées
• Mettre en œuvre des mesures de sécurité appropriées
• Établir des procédures de détection et de notification des violations
• Réaliser des analyses d'impact sur la protection des données pour les traitements à haut risque
• Nommer un délégué à la protection des données si nécessaire
• Tenir un registre des activités de traitement (RoPA)