NB : cet article est un article informatif. Il ne fait pas référence dans le domaine légal. Il vous appartient de vérifier les textes légaux applicables à votre entreprise.
Tous les sites internet utilisant des Cookies sont concernés par le RGPD. Mais de quoi parle-t-on exactement ? Quelles sont les obligations et les domaines d’applications. Parcourez cet article pour retrouver les informations principales à retenir et les liens vers les textes officiels.
RGPD : définition et historique
Le Règlement général sur la protection des données (RGPD) est un règlement de l’Union européenne. Il a été adopté le 27 avril 2016 et est entré en vigueur le 25 mai 2018. Le RGPD a pour objectif de renforcer et d’uniformiser la protection des données personnelles des citoyens de l’Union européenne.
Il s’applique à toute entreprise traitant des données personnelles de citoyens de l’Union européenne. C’est un cadre juridique qui fixe des règles claires et précises en matière de protection des données personnelles. Objectif : garantir que ces données sont traitées de manière légitime, licite, transparente et sécurisée.
Le RGPD impose également des obligations aux entreprises en matière de notification des fuites de données et de respect de la vie privée des personnes concernées. Les entreprises ne respectant pas le RGPD peuvent être sanctionnées financièrement à hauteur de 4% de leur chiffre d’affaires mondial annuel ou de 20 millions d’euros, selon le montant le plus élevé.
Source : CNIL – Texte RGPD
Quelles sont les principales obligations qu’impose le RGPD ?
Voici les principales règles du RGPD :
- Obligation de transparence : les entreprises et organisations doivent informer les personnes concernées de manière claire et concise sur la manière dont leurs données sont collectées, utilisées et protégées.
- Obligation de licéité : les entités ne peuvent collecter, utiliser ou transférer des données personnelles que dans le respect de la loi et sur la base d’un fondement légitime (par exemple, le consentement de la personne concernée).
- Obligation de limitation de finalité : les entreprises et organisations ne peuvent utiliser les données personnelles collectées que pour les finalités déterminées, explicites et légitimes.
- Obligation de minimisation des données : les entreprises et organisations doivent minimiser la collecte et l’utilisation de données personnelles, en ne collectant et en n’utilisant que les données strictement nécessaires à la réalisation de leurs finalités.
- Obligation de conservation limitée : devoir d’effacer ou d’anonymiser les données personnelles une fois qu’elles ne sont plus nécessaires aux finalités pour lesquelles elles ont été collectées.
- Obligation de sécurité : mise en place des mesures de sécurité appropriées pour protéger les données personnelles contre toute perte, mauvaise utilisation, altération ou destruction.
- Obligation de responsabilité : les établissement doivent être en mesure de démontrer le respect de leurs obligations en matière de protection des données personnelles.
Quelles sont les trois catégories de données personnelles concernées par le RGPD ?
Les trois catégories de données personnelles du RGPD sont :
- Les données d’identification : le nom, l’adresse, le numéro de téléphone ou l’adresse e-mail.
- Les données de localisation : adresse IP de son ordinateur ou adresse MAC d’un smartphone.
- Les données de l’identité numérique : profil sur les réseaux sociaux, compte utilisateur, etc.
Le RGPD s’applique aux données quelle que soit leur nature (numérique, papier, oral, etc.) ou leur support (ordinateur, smartphone, disque dur, etc.).
Consultez le site de la CNIL pour en savoir plus sur le RGPD
En juin 2022, la CNIL (commission nationale de l’informatique et des libertés) a publié un article sur Google Analytics et le transfert de données. L’organisme y détaille les modalités pour mettre en conformité RGPD son outil de mesure d’audience.
Quelle est la différence entre une donnée et une information ?
En général, on peut dire qu’une donnée est un élément brut, non organisé, qui a besoin d’être traité pour devenir une information utile.
Une donnée est une unité d’information qui peut être collectée, enregistrée, stockée et traitée par un ordinateur ou un système informatique. Les données peuvent être de différents types (numériques, textuelles, graphiques, audio, vidéo, etc.) et peuvent être utilisées de manière indépendante ou combinées entre elles pour créer de l’information.
Par exemple, une liste de numéros de téléphone est une donnée, mais cette donnée n’a pas de sens en elle-même. En ajoutant des informations contextuelles (noms associés aux numéros de téléphone, adresses, etc.), on peut créer une liste de contacts qui devient une information utile.
On peut donc dire que l’information est le résultat du traitement de données, c’est-à-dire un ensemble de données organisées et présentées de manière à être significatives et utiles pour quelqu’un.
- Pour enregistrer les préférences de l’utilisateur : les cookies peuvent être utilisés pour enregistrer les préférences de l’utilisateur (langue, taille de police, etc.) afin de personnaliser l’expérience de navigation du site.
- Pour suivre les activités de l’utilisateur : les cookies peuvent être utilisés pour suivre les activités de l’utilisateur sur le site (pages visitées, liens cliqués, etc.) et ainsi améliorer l’expérience de navigation.
- Pour cibler les publicités : les cookies peuvent être utilisés pour cibler les publicités qui sont affichées à l’utilisateur en fonction de ses intérêts et de ses activités sur le site.
- Pour mesurer l’audience et les performances du site : les cookies peuvent être utilisés pour mesurer l’audience et les performances du site (nombre de visiteurs, temps passé sur le site, etc.) et ainsi améliorer l’expérience de navigation.
Ces sites internet doivent obtenir le consentement de l’utilisateur avant de déposer des cookies sur son ordinateur. Le Règlement Général sur la Protection des Données (RGPD) impose aux sites d’informer les utilisateurs sur l’utilisation des cookies et de leur offrir la possibilité de refuser leur utilisation.
Est-ce que le RGPD est obligatoire ?
Oui, le Règlement Général sur la Protection des Données (RGPD) est obligatoire pour toutes les entreprises et organisations situées dans l’Union européenne, ainsi que pour les entreprises et organisations situées hors de l’Union européenne qui traitent des données à caractère personnel de personnes situées dans l’Union européenne. Le RGPD est applicable en droit national de chaque pays de l’Union européenne et est donc obligatoire dans tous les États membres. Les entreprises et organisations qui ne respectent pas les dispositions du RGPD peuvent être sanctionnées par les autorités de contrôle compétentes.
Quand le RGPD ne s'applique-t-il pas ?
Voici quelques exemples dans lesquels le RGPD ne s’applique pas :
- Les activités de l’État et de l’administration publique : le RGPD ne s’applique pas aux activités de l’État et de l’administration publique, qui sont régies par le droit national de chaque pays de l’Union européenne.
- Les activités journalistiques et de recherche scientifique : le RGPD prévoit des dérogations pour les activités journalistiques et de recherche scientifique, qui peuvent être soumises à des règles spécifiques en matière de protection des données à caractère personnel.
- Les activités de l’association de consommateurs et de défense des droits des personnes : le RGPD prévoit également des dérogations pour les activités de l’association de consommateurs et de défense des droits des personnes, qui peuvent être soumises à des règles spécifiques en matière de protection des données à caractère personnel.
Ces dérogations sont soumises à certaines conditions. Il est recommandé de se référer aux dispositions du RGPD et aux lignes directrices de l’autorité de protection des données compétente pour savoir si le RGPD s’applique ou non à chaque cas précis.
Google Forms est-il conforme au GDPR ?
Google Forms est un outil de collecte de données en ligne qui appartient à Google LLC, une entreprise américaine qui est soumise au Règlement Général sur la Protection des Données (RGPD). L’entreprise a pris des mesures pour s’assurer que ses services, y compris Google Forms, sont conformes au RGPD. Voici quelques exemples de mesures mises en place par Google dans ce cadre :
- Mise à disposition de documents de référence et de ressources pour aider les utilisateurs à comprendre et à se conformer au RGPD.
- Mise en place de contrôles de sécurité et de confidentialité pour protéger les données à caractère personnel des internautes.
- Mise en place de processus pour aider les utilisateurs à exercer leurs droits en matière de protection des données, tels que le droit d’accès, de rectification, d’effacement ou de portabilité des données.
- Mise en place de mécanismes pour obtenir le consentement des internautes avant de collecter ou de traiter leurs données à caractère personnel.
Le RGPD impose également des obligations aux utilisateurs de Google Forms. Ils sont responsables de la collecte, de l’utilisation et de la protection des données à caractère personnel qu’ils collectent à l’aide de cet outil. Ces personnes doivent donc s’assurer de respecter les dispositions du RGPD et mettre en place les mesures nécessaires pour protéger les données collectées.
Le RGPD est-il en vigueur aux Etats-Unis ?
Le Règlement Général sur la Protection des Données est un règlement de l’Union européenne qui a pour objectif de renforcer et de unifier la protection des données à caractère personnel des citoyens de l’Union européenne. Il est applicable en droit national de chaque pays de l’UE et est donc obligatoire dans tous les États membres.
Le RGPD n’est pas directement applicable aux États-Unis, qui ne font pas partie de l’Union européenne. Toutefois, le RGPD s’applique aux entreprises et organisations situées hors de l’Union européenne qui traitent des données à caractère personnel de personnes situées dans l’UE.
Par exemple, si une entreprise américaine collecte et traite des données à caractère personnel de personnes situées en France, elle doit se conformer aux dispositions du RGPD.
Les États-Unis ont également leur propre réglementation en matière de protection des données à caractère personnel, notamment le Privacy Act de 1974 et le California Consumer Privacy Act (CCPA) de 2018. Ces réglementations peuvent être similaires au RGPD, mais elles ont des différences significatives et ne sont pas directement harmonisées avec le RGPD.