Le RGPD, pour règlement général sur la protection des données personnelles, ou GDPR (General Data Protection Regulation) pour les anglophones, est un règlement adoptée le 27 avril 2016, par le Parlement et le Conseil de l’Union Européenne et applicable depuis le 25 mai 2018, afin d’harmoniser/uniformiser et protéger les données personnelles.

Par données personnelles, le règlement précise qu’il faut entendre :

«toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée «personne concernée») ; est réputée être une «personne physique identifiable» une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale ;»

Sur la forme, il s’agit d’un règlement européen qui se subdivise en 11 chapitres, dans lesquels sont répartis les 99 articles que comprend ce même règlement.

Ces chapitres traitent s’intitulent :

  1. Dispositions générales ;
  2. Principes ;
  3. Droits de la personne concernée ;
  4. Responsables du traitement et sous-traitant ;
  5. Transferts de données à caractère personnel vers des pays tiers ou à des organisations internationales ;
  6. Autorités de contrôle indépendantes ;
  7. Coopération et cohérence ;
  8. Voies de recours, responsabilité et sanction;
  9. Dispositions relatives à des situations particulières de traitement ;
  10. Actes délégués et actes d’exécution ;
  11. Dispositions finales.

La protée de ce règlement n’est pas négligeable car il concerne des millions d’européens, d’entreprises européennes, d’administrations, mais encore les non-européens dont les données sont traitées ou sous-traitées par une organisation soumise au droit de l’Union européenne.

C’est peut aussi pour cela que ce règlement a fait l’objet d’une campagne médiatique, laquelle a parfois fait naître des peurs – justifiées – au regard de la responsabilité encourue, des amendes et des sanctions mises en avant : 10 à 20 millions d’euros en cas de manquement aux dispositions du règlement, auxquels peuvent s’ajouter 20 millions d’euros en cas de manquement aux injonctions émises par l’autorité de contrôle nationale, soit la CNIL en France.

Il s’agit bien évidemment de plafonds, mais il n’empêche que ma curiosité a été piquée et qu’il serait dommage de négliger un sujet si important quand bien même je ne suis pas professionnel de l’informatique, du numérique ou encore du web. Et puis, il s’agit aussi d’avoir l’assurance – autant que faire ce peut – d’être protéger tant par rapport au risque de sanction, que pour ses propres données personnelles.

En tant que personne physique, je n’apprécierai pas que mes données personnelles soient collectées n’importe comment, dans n’importe quel but et diffusé par ou auprès de n’importe qui.

En tant qu’avocat, je suis tenu au secret professionnel et détient des données, des informations, qu’il m’appartient de ne pas divulguer et, ce faisant, de protéger.

En tant qu’auteur et responsable de la publication sur ce site, je m’interroge sur mes obligations et droits.

Cela fait trois bonnes raisons de se pencher sur le sujet, plus en profondeur.

Par conséquent, indépendamment même des actions en responsabilité, des amendes et sanctions encourues, ce texte soulève d’innombrables questions :

  1. Qu’est-ce que des « données personnelles » ?
  2. Qu’est-ce qu’un « traitement » ?
  3. Qu’est-ce que la collecte et quand collecte-t-on des données personnelles ?
  4. Qui est est concerné par ce texte ?
  5. Quels sont les droits des personnes dont les données sont collectées ?
  6. Quelles sont les obligations des personnes collectent ces mêmes données ?
  7. Quelles sont également leurs droits ?
  8. Quelle information le responsable de la collecte ou du traitement doit-il délivrer ?
  9. Quelle sont les actes et les procédures à mettre en oeuvre ?