Blog
A quoi sert le RGPD ? Définition et mise en place
5 mins

Définition et mise en place du RGPD

Publié le
23/4/24

TOC Example

La contrathèque

Accédez gratuitement à nos modèles de contrats et templates

Définition et mise en place du RGPD

En 2024, de plus en plus d’informations sont demandées aux utilisateurs, consommateurs et internautes. Pour protéger la vie privée des citoyens européens, le Règlement Général sur la Protection des données (RGPD) a été adopté en 2016, pour entrer en vigueur en 2018. 


Le RGPD a permis d’harmoniser les législations européennes, et de responsabiliser les entreprises sur la protection qu’elles offrent à leurs utilisateurs. Il ne pouvait en être autrement au regard de l'explosion du digital ces dernières années.


A quoi sert le RGPD ? Quel est le but du RGPD ? Comment préparer sa mise en place dans votre entreprise et s’assurer d’être en règle ? Voici le mode d’emploi. 

Mini-sommaire 

  1. RGPD : définition des données personnelles
  2. Qui est concerné par le RGPD ? 
  3. Quels sont les objectifs du RGPD ?
  4. Quels sont les principes RGPD à mettre en oeuvre ? 
  5. Comment mettre en place le RGPD ? 
  6. Conclusion 

RGPD : définition des données personnelles 

Lorsqu’on parle de RGPD, les données personnelles constituent le point de départ de la réflexion. 

Elles regroupent toutes les informations qui, ensemble, permettent d’identifier une personne en particulier. 

Par exemple, sont des données personnelles : le nom, le prénom, un numéro de carte d’identité, une adresse mail, etc.

En réalité, les données personnelles sont exploitées au quotidien par vos équipes : les ressources humaines, le service commercial ou le service marketing, les ingénieurs, etc.

A contrario, des informations personnelles, qui sont rendues anonymes, ne constituent pas, au sens du RGPD, des données personnelles. 

Qui est concerné par le RGPD ? 

Vous collectez directement ou indirectement des données personnelles dans le cadre de votre activité ? Alors, vous êtes concerné par le RGPD, il importe peu votre taille ou votre CA, ou que vous soyez un satellite d’un service public.

Votre entreprise a son siège social hors de l’UE ? C’est la même chose. Vous êtes concerné par le RGPD dès lors que vous récoltez des informations auprès de résidents européens. 

Toutes les start-up sont concernées : e-commerce, proptech, martech, assurtech, etc. Le spectre est large. Le RGPD concerne toute organisation qui collecte, traite ou archive des données personnelles sur autrui. 

Quels sont les objectifs du RGPD ?

Pour le dire simplement, le RGPD est là pour renforcer les droits des personnes et responsabiliser les acteurs.

Tout d’abord, les personnes dont les données sont collectées doivent donner leur consentement avant tout traitement. Cela signifie qu’il y a une obligation de transparence très forte. Ainsi, vous devez les informer sur la façon dont vous allez traiter les données (objectif poursuivi, durée de conservation, etc.) et obtenir une validation de leur part (case à cocher par exemple).

Par ailleurs, l’exercice des droits est un incontournable du RGPD. Sur le terrain, il est donc essentiel qu’une personne dont les données à caractère personnel sont collectées puisse trouver un référent qui saura répondre à ses questions et qui pourra, par la même occasion, aiguiller la demande vers le bon service.

Enfin, le RGPD a décidé de responsabiliser les acteurs - responsables de traitement et sous-traitants- qui ont l’obligation de s’autonomiser sur le sujet et inclure le RGPD dans leur projet dès la conception d’un service ou d’un produit (c’est le principe de privacy by design). Ils doivent veiller également à leur accountability en implémentant des procédures internes pour prouver qu’ils ont bel et bien rempli leurs obligations (documentation, code de conduite, tenue d’un registre à jour, etc.).

Quels sont les principes RGPD à mettre en œuvre ? 

Si vous êtes soumis au RGPD, soyez proactif et prenez toutes les mesures techniques et organisationnelles pour respecter les principes du RGPD. 

Cela vous oblige à réfléchir à une vraie gouvernance interne sur le sujet et insuffler les bonnes pratiques à vos équipes.

  • Minimisation des données : assurez-vous que les données recueillies servent à remplir  un objectif spécifique et légitime, évitant d’une part une collecte trop généreuse et d’autre part, un traitement ultérieur non conforme à l’objectif initial.

  • Transparence : le RGPD veut redonner le pouvoir aux propriétaires des données personnelles, ce qui nécessite une communication claire sur l'usage de ces données dès le début et leur consentement (qui doit donc être donné en toute connaissance de cause).

  • Exercice des droits des individus : mettez en place un process interne afin de répondre aux droits que le RGPD confère aux individus. On y trouve le droit d'accès, le droit de rectification, le droit à l’effacement, le droit d’opposition, le droit à la portabilité et le droit à la limitation de traitement.

  • Durées de conservation limitées : les données ne peuvent être conservées que le temps nécessaire à la réalisation de l'objectif visé, puis être détruites, anonymisées, ou archivées. 

  • Sécurisation des données : prenez toutes les mesures nécessaires pour assurer la sécurité des données, que ce soit en termes de sécurité physique ou informatique et en gérant rigoureusement les autorisations et accès. Ces précautions doivent être adaptées à la sensibilité des données et aux risques pour les individus en cas d'incident de sécurité.

Comment mettre en place le RGPD ? 

Les étapes sont plutôt simples à comprendre. Néanmoins, il est essentiel de prendre conscience que la mise en place du RGPD demande un travail itératif et continu. 

Effectuez une cartographie des données. Quelles sont les informations personnelles en votre possession ? Quelle est la finalité de chacun des traitements ? Quelle est la durée de conservation. Pour évaluer votre situation, la première étape est de répondre aux 10 questions à se poser pour se mettre en conformité au RGPD ;

Menez un audit rigoureux de l’existant. A la différence de la cartographie, il s’agit d’identifier les mesures que vous avez déjà mises en place versus les mesures à prendre. 

Priorisez vos actions. La cartographie et l’audit vont vous permettre d’identifier les chantiers prioritaires. Cela concerne-t-il des données sensibles dont la sécurité de conservation laisse à désirer ? Un exercice de droits qui n’est pas assuré ? Une politique de confidentialité erronée alors que vous gérez une énorme base de données marketing ?

Sensibilisez vos équipes. Vous pouvez aussi avoir recours à la formation RGPD qui leur permettra de ne manquer aucune de leurs obligations légales, mais nous vous conseillons surtout de leur enseigner les bons gestions RGPD du quotidien. 

Faites appel à un avocat RGPD qui mettra en place, après une cartographie et un audit, une politique RGPD efficace, pragmatique et surtout spécifique à vos besoins et à votre secteur. 

Conclusion 

A quoi sert le RGPD ? À encadrer le traitement des données personnelles. Vous ne pouvez donc plus exploiter ces dernières comme bon vous semble.

Par ailleurs, en respectant le RGPD, vous établissez une relation de confiance avec vos prospects et clients, puisque les consommateurs sont de plus en plus sensibles à ce sujet. En effet, 76% d’entre eux s’inquiètent pour la protection de leurs données personnelles.

Au-delà du risque réglementaire, il vous appartient non seulement de préserver votre activité économique (quid en cas de défaillance de sécurité ?), mais également votre réputation.

L'abonnement juridique illimité pour les entrepreneurs

Fonds publics, conflit d'associés, mise en conformité RGPD, M&A, contentieux : découvrez toutes nos offres conçues pour les startups.