RGPD (Règlement Général sur la Protection des Données)

Le RGPD, acronyme de Règlement Général sur la Protection des Données, est un texte réglementaire européen entré en application le 25 mai 2018. Il établit un cadre juridique unifié pour la collecte, le traitement et la conservation des données à caractère personnel au sein de l’Union européenne.

Son champ d’application est extraterritorial : toute organisation, quelle que soit sa localisation géographique, est soumise au RGPD dès lors qu’elle traite des données de personnes physiques résidant dans l’Union européenne. Il remplace la directive 95/46/CE et constitue, à ce jour, le cadre de référence en matière de protection des données personnelles en Europe.

Historique

La protection des données personnelles fait l’objet d’un encadrement juridique en Europe depuis les années 1970, avec les premières lois nationales adoptées en Allemagne (1970) et en France (loi Informatique et Libertés, 1978). La directive européenne de 1995 a constitué une première harmonisation, sans toutefois imposer une application uniforme dans l’ensemble des États membres.

Face à l’essor du numérique, à la multiplication des services en ligne et à l’émergence des grandes plateformes de données, la Commission européenne a engagé en 2012 une refonte complète du cadre réglementaire. Le règlement adopté en avril 2016, applicable à partir de mai 2018, répond à un double objectif : renforcer les droits des individus et créer un cadre commun applicable dans l’ensemble des vingt-sept États membres, sans transposition nationale nécessaire.

En France, la loi Informatique et Libertés a été révisée en 2018 pour s’articuler avec le RGPD, et la CNIL (Commission Nationale de l’Informatique et des Libertés) en assure le contrôle et la sanction.

Notions fondamentales

Donnée à caractère personnel : toute information se rapportant à une personne physique identifiée ou identifiable. Une adresse email nominative, un numéro de téléphone direct, une adresse postale associée à un individu constituent des données personnelles au sens du RGPD. Les données relatives aux personnes morales (entreprises, associations) n’entrent pas dans ce périmètre.

Traitement de données : toute opération appliquée à des données personnelles, qu’elle soit automatisée ou non. Collecter, enregistrer, organiser, stocker, modifier, extraire, consulter, utiliser, transmettre ou supprimer des données constituent des traitements au sens du règlement.

Responsable de traitement : personne physique ou morale qui détermine les finalités et les moyens du traitement. C’est lui qui supporte les obligations principales du RGPD.

Sous-traitant : personne physique ou morale qui traite des données pour le compte du responsable de traitement, sur instruction de ce dernier. Les fournisseurs de données, hébergeurs ou prestataires techniques peuvent avoir ce statut.

Finalité : objectif précis pour lequel les données sont collectées. Le RGPD impose que les données soient collectées pour des finalités déterminées, explicites et légitimes, et ne soient pas traitées ultérieurement de manière incompatible avec ces finalités.

Principes fondamentaux

Le RGPD repose sur un ensemble de principes que tout responsable de traitement est tenu de respecter.

Licéité, loyauté et transparence : le traitement doit reposer sur une base légale valide, être conduit de façon loyale et les personnes concernées doivent être informées de manière claire et accessible.

Limitation des finalités : les données collectées ne peuvent être utilisées qu’aux fins pour lesquelles elles ont été recueillies.

Minimisation des données : seules les données strictement nécessaires à la finalité poursuivie peuvent être collectées.

Exactitude : les données doivent être tenues à jour et les inexactitudes corrigées sans délai.

Limitation de la conservation : les données ne peuvent être conservées au-delà de la durée nécessaire à la finalité du traitement.

Intégrité et confidentialité : des mesures techniques et organisationnelles appropriées doivent garantir la sécurité des données contre tout accès non autorisé, perte ou destruction.

Bases légales du traitement

Le RGPD identifie six bases légales permettant de justifier un traitement de données personnelles. En pratique, trois sont particulièrement mobilisées en contexte commercial et B2B.

Consentement : la personne concernée a donné son accord de manière libre, spécifique, éclairée et univoque. Le consentement doit être aussi simple à retirer qu’à donner.

Exécution d’un contrat : le traitement est nécessaire à l’exécution d’un contrat auquel la personne est partie, ou à l’exécution de mesures précontractuelles prises à sa demande.

Intérêt légitime : le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable de traitement, sous réserve que ces intérêts ne prévalent pas sur les droits et libertés de la personne concernée. Cette base légale est fréquemment invoquée en prospection B2B pour le traitement de données de contact professionnels.

Droits des personnes

Le RGPD confère aux personnes physiques un ensemble de droits opposables aux responsables de traitement.

Droit d’accès : toute personne peut obtenir confirmation que des données la concernant sont traitées, et en obtenir une copie.

Droit de rectification : toute personne peut demander la correction de données inexactes ou incomplètes.

Droit à l’effacement : dans certaines conditions, une personne peut demander la suppression de ses données.

Droit d’opposition : toute personne peut s’opposer à un traitement fondé sur l’intérêt légitime, notamment en matière de prospection commerciale.

Droit à la portabilité : dans les cas où le traitement repose sur le consentement ou l’exécution d’un contrat, la personne peut demander à recevoir ses données dans un format structuré et lisible par machine.

RGPD et contexte B2B

En contexte B2B, le RGPD s’applique de manière asymétrique selon la nature des données traitées.

Les données relatives aux personnes morales (raison sociale, numéro SIREN, adresse du siège) ne constituent pas des données personnelles et ne relèvent pas du règlement. En revanche, les données de contact individuel associées à un salarié identifiable (email nominatif, numéro direct, nom et prénom) constituent des données personnelles soumises au RGPD, même dans un contexte strictement professionnel.

La prospection commerciale B2B par voie électronique est encadrée par des règles spécifiques, combinant les dispositions du RGPD et celles de la directive ePrivacy. L’intérêt légitime constitue la base légale la plus fréquemment retenue, sous réserve du respect du droit d’opposition.

Pour une analyse complète des règles applicables à la prospection commerciale B2B, voir le guide RGPD et prospection B2B.

Sanctions et contrôle

Le RGPD est assorti d’un régime de sanctions administratives à deux niveaux.

Les manquements les plus graves, notamment les violations des principes fondamentaux du traitement, du champ d’application territorial, des conditions du consentement ou des transferts internationaux de données, peuvent donner lieu à des amendes pouvant atteindre 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial, selon le montant le plus élevé.

Les manquements de moindre gravité, portant notamment sur les obligations des responsables de traitement et des sous-traitants, les conditions applicables au consentement des mineurs ou les obligations relatives aux organismes de certification, sont passibles d’amendes pouvant atteindre 10 millions d’euros ou 2 % du chiffre d’affaires annuel mondial.

En France, la CNIL est l’autorité de contrôle compétente. Elle dispose de pouvoirs d’enquête, de mise en demeure et de sanction, et publie régulièrement des recommandations sectorielles ainsi que des référentiels par secteur d’activité. Les décisions de sanction sont rendues publiques, ce qui constitue en pratique un risque réputationnel distinct du risque financier.

Distinction avec des notions proches

Voir aussi

• Guide : RGPD et prospection B2B : guide complet pour les entreprises françaises
• Définition : Données personnelles
• Définition : Consentement des données
• Définition : Données B2B
• Définition : Enrichissement de données

Sources et références

1. Parlement européen et Conseil de l’Union européenne. Règlement (UE) 2016/679 du 27 avril 2016. eur-lex.europa.eu
2. Commission Nationale de l’Informatique et des Libertés (CNIL). Comprendre le RGPD. cnil.fr
3. Commission européenne. Data protection in the EU. ec.europa.eu
4. Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, modifiée en 2018. legifrance.gouv.fr
5. Comité européen de la protection des données (EDPB). Guidelines on legitimate interest. edpb.europa.eu