RGPD : qu'est-ce que c'est et à qui s'applique-t-il ?

·

Depuis mai 2018, le Règlement général sur la protection des données — Règlement (UE) 2016/679, connu sous l'acronyme RGPD — est la norme de référence en matière de vie privée pour toutes les organisations qui traitent des données personnelles de citoyens de l'Union européenne. En Espagne, il est complété par la Loi organique 3/2018 relative à la protection des données à caractère personnel et à la garantie des droits numériques (LOPDGDD), qui adapte le Règlement à l'ordre juridique national et ajoute des dispositions spécifiques sur les médias numériques, la vidéosurveillance, le droit du travail et les mineurs. L'autorité de contrôle en Espagne est l'Agencia Española de Protección de Datos (AEPD).

Ce qui surprend beaucoup de PME lorsqu'elles prennent conscience de la portée réelle de ces règles, c'est précisément leur étendue : le RGPD ne concerne pas uniquement les grandes entreprises technologiques. Si votre entreprise gère des listes de clients, envoie des newsletters par courrier électronique, filme l'intérieur d'un local avec des caméras ou enregistre les présences des employés, vous traitez déjà des données personnelles et le Règlement vous est applicable.

À qui s'applique exactement le RGPD ?

Le RGPD s'applique à toute organisation — entreprise, travailleur indépendant, association, autorité publique — qui remplit l'une de ces deux conditions :

En pratique, une quincaillerie de Burgos dotée d'un CRM clients, une clinique dentaire de Las Palmas avec des dossiers de patients ou un commerce en ligne de Salamanque avec une liste d'abonnés : tous relèvent du RGPD. La taille de l'entreprise allège certaines exigences formelles (les micro-entreprises de moins de 250 employés sont exemptées de tenir le registre des activités de traitement dans certains cas), mais elle ne supprime pas l'obligation de traiter les données de manière licite, transparente et sécurisée.

Qu'est-ce qu'une donnée personnelle au sens du RGPD ?

Le Règlement définit la «donnée à caractère personnel» comme toute information se rapportant à une personne physique identifiée ou identifiable (art. 4.1 RGPD). Sont notamment des données personnelles :

Les données relatives aux personnes morales (entreprises, sociétés) se situent en dehors du champ d'application du RGPD, bien que les coordonnées d'un travailleur indépendant ou d'un employé d'une entreprise constituent des données personnelles.

Quels principes le RGPD exige-t-il lors du traitement des données ?

L'article 5 du RGPD établit les principes qui régissent tout traitement licite. Obtenir le consentement seul ne suffit pas : tous les principes doivent être respectés simultanément :

Principe Ce que cela signifie en pratique
Licéité, loyauté et transparence Il existe une base juridique valide et la personne concernée sait ce qui est fait de ses données.
Limitation des finalités Les données ne sont utilisées qu'aux fins déclarées ; elles ne sont pas réutilisées sans nouvelle base juridique.
Minimisation des données Seules les données strictement nécessaires à la finalité sont collectées.
Exactitude Les données doivent être tenues à jour ; les données inexactes doivent être rectifiées ou effacées.
Limitation de la conservation Les données ne sont pas conservées plus longtemps que nécessaire, sauf obligation légale.
Intégrité et confidentialité Des mesures techniques et organisationnelles appropriées protègent les données.
Responsabilité (accountability) Le responsable du traitement peut démontrer qu'il respecte tous les principes précédents.

Bases juridiques : sur quel fondement puis-je traiter des données ?

Traiter des données sans base juridique valide constitue une infraction grave. L'article 6 du RGPD prévoit six bases possibles. Les plus courantes dans le contexte des entreprises sont :

Droits des personnes que toute entreprise doit garantir

Les entreprises doivent répondre à ces demandes dans un délai d'un mois, prorogeable à trois mois dans les cas complexes. Ne pas répondre ou refuser sans justification constitue une infraction sanctionnable.

Violations de données : que faire et dans quel délai ?

Vidéosurveillance et caméras en milieu de travail

La vidéosurveillance est l'un des domaines qui génère le plus de questions pour le service de mise en conformité RGPD. La réglementation applicable combine le RGPD et la LOPDGDD :

Cookies et la LSSI-CE

L'utilisation des cookies est principalement régie par l'art. 22.2 de la Loi 34/2002 sur les services de la société de l'information et le commerce électronique (LSSI-CE), qui exige le consentement éclairé de l'utilisateur pour installer des cookies non techniques. L'AEPD a publié le Guide sur l'utilisation des cookies (mis à jour en 2023) qui établit notamment :

Le Délégué à la Protection des Données (DPO) : quand la désignation est-elle obligatoire ?

Les articles 37 à 39 du RGPD régissent la figure du Délégué à la Protection des Données (DPO). Sa désignation est obligatoire dans trois cas précis (art. 37.1 RGPD) :

  1. Autorités et organismes publics.
  2. Organisations dont l'activité principale consiste en des opérations de traitement qui, du fait de leur nature, de leur portée ou de leurs finalités, nécessitent un suivi régulier et systématique à grande échelle des personnes concernées.
  3. Organisations dont l'activité principale consiste en un traitement à grande échelle de catégories particulières de données (données de santé, données biométriques, données relatives à des condamnations pénales, etc.).

En dehors de ces cas, la désignation est volontaire mais recommandée. Pour les PME, la formule du DPO externe est la plus efficiente en termes de coût, permettant d'accéder à un expert qualifié sans nécessiter un recrutement à temps plein.

À quelle hauteur l'AEPD peut-elle sanctionner ?

Le RGPD établit un régime de sanctions à deux niveaux (art. 83) :

Aucun service de conseil ne peut garantir l'absence de sanctions — cela dépend uniquement de la conformité réelle et des circonstances propres à chaque dossier — mais un accompagnement expert dès le départ réduit sensiblement la probabilité d'ouverture d'une procédure et la gravité de ses conséquences.

Par où commencer ? Les étapes fondamentales de mise en conformité

  1. Inventaire des traitements : identifier quelles données sont traitées, à quelle fin, sur quelle base juridique, pendant combien de temps et qui y a accès. Le résultat est le Registre des activités de traitement (art. 30 RGPD).
  2. Analyse des risques : évaluer si les traitements font courir des risques aux personnes concernées et, le cas échéant, réaliser une Analyse d'impact relative à la protection des données (AIPD), obligatoire lorsqu'un traitement est susceptible d'engendrer un risque élevé (art. 35 RGPD).
  3. Documentation : politique de confidentialité, clauses d'information, contrats avec les sous-traitants (prestataires qui accèdent aux données), procédures de traitement des droits et de gestion des violations.
  4. Mesures techniques et organisationnelles : contrôle d'accès, chiffrement, politique de mots de passe, sauvegardes, formation du personnel.
  5. Désignation du DPO le cas échéant, ou attribution de responsabilités internes de supervision.
  6. Révision périodique : la conformité n'est pas un jalon ponctuel ; elle nécessite une révision lors de changements d'activité, d'adoption de nouveaux outils numériques ou de modifications réglementaires.

Pour démarrer ce processus avec l'appui d'une équipe spécialisée, consultez notre service de mise en conformité RGPD pour les entreprises en Castille-et-León et aux îles Canaries. Vous pouvez également approfondir des aspects spécifiques dans nos articles consacrés à l'Analyse d'impact relative à la protection des données (AIPD) et au service de DPO externe.