Règlement général sur la protection des données

Le règlement n° 2016/679, dit règlement général sur la protection des données (RGPD ou encore GDPR, de l’anglais General Data Protection Regulation) est un règlement de l’Union Européenne qui constitue le texte de référence en matière de protection des données à caractère personnel. Il renforce et unifie la protection des données pour les individus au sein de l’Union Européenne.

Les changements par rapport à la loi Informatique et Libertés

Depuis 1978, c’était la loi Informatique et Libertés qui régissait le traitement des données personnelles en entreprise. Le système précédemment appliqué imposait à toutes les sociétés, des demandes d’autorisation pour utiliser les informations contenues dans les fichiers à caractère personnel ainsi que les obligations de déclaration quant à leur mode de recueil. Désormais, ces obligations sont supprimées, en revanche, l’entreprise doit utiliser de manière responsable les données à caractère personnel et en assurer la sécurité. La Commission nationale de l’informatique et des libertés (CNIL) peut en effet demander à l’entreprise à tout moment de démontrer l’exemplarité de ses pratiques et la sécurisation de ses fichiers de données à caractère personnel. Sous peine d’amende, les sociétés doivent être en mesure de prouver qu’elles ont obtenu le consentement des personnes intéressées. Cette révolution dans la manière d’administrer les données personnelles impose aux entreprises de changer radicalement leur manière de procéder.

Quelles sont les entreprises concernées par le RGPD ?

La réponse est claire. En effet même si les entreprises visées sont celles qui proposent des services ou des produits ou celles qui étudient le comportement des européens, toutes celles qui disposent de fichiers à caractère personnel entrent dans le champ d’application du règlement, même si elles n’ont aucune activité sur internet. Par exemple, est considéré comme un fichier de données personnelles le document listant tous les salariés d’une entreprise !

Non-respect du RGPD et risques de sanctions

La Commission nationale de l’informatique et des libertés (CNIL) est l’autorité chargée du contrôle des RGPD et de veiller au respect et à l’application conforme du RGPD. Le RGPD suit pour cela une logique de contrôle.


Elle a donc un devoir de vigilance, de dissuasion et de fermeté vis-à-vis des manquements à la mise en conformité du RGPD.


Les autorités de contrôle (en France la CNIL) ont à présent le droit d’imposer elles-mêmes des sanctions administratives quand les conditions ne sont pas réunies. L’autorité de contrôle doit également s’assurer que les sanctions administratives prévues en cas de manquements au RGPD sont effectives, proportionnelles et dissuasives. Elle doit choisir le moyen le plus apte à atteindre l’objectif recherché.


L’imprudence et la négligence des entreprises et organismes publics ou privés lors du traitement de données sensibles sont désormais directement et lourdement sanctionnées par la CNIL.


Attention ! Il ne faut pas sous-estimer le risque de la non-conformité d’une petite entreprise au RGPD. En effet, celles-ci peuvent se retrouver en liquidation du fait des sanctions financières très lourdes du règlement.


Deux sortes de sanctions sont prévues si les entreprises ou les organismes privés ou publics en charge du traitement de données personnelles violent une des dispositions du Règlement européen général sur la protection des données (RGPD) après son entrée en vigueur le 25 mai 2018. Les montants de ces sanctions sont extrêmement élevés et ont avant tout un rôle dissuasif. Cela permet d’apporter plus de transparence lors de la collecte de données à caractère personnel et d’en faire un usage plus sécurisé et plus respectueux


Après la date butoir du 25 Mai 2018, toutes les infractions au RGPD constatées pourront déboucher sur une amende sévère d’un maximum de 20 millions d’euros ou de 4% du chiffre d’affaires.

s'identifier