RGPD -INTRODUCTION-

1. HISTORIQUE

1.1. 1973 (Projet SAFARI)

https://www.ecommerce-nation.fr/recommandations-de-la-cnil-cookies-
traceurs/

 Système automatisé pour les fichiers administratifs et le répertoire des Individus .

 Objectif initial : Faciliter la circulation des informations entre différentes administrations.
 Fonctionnement : A partir d’un seul N° (NSS), recenser et recouper dans une base
centralisée l’ensemble des informations détenues sur chaque citoyen par les pouvoirs
publics.
 Risque : Dangers potentiels : atteinte aux libertés individuelles (mauvaise utilisation
informatique)

1.2. 1974

 Publication Journal le monde (21/03/1974) : « SAFARI ou la chasse aux Français »

 L’opinion publique scandalisée par le projet de l’état (souvenirs d’utilisation de ce type
de fichier pendant l’occupation durant la Seconde guerre mondiale).
 Projet abandonné.
 Création d’une commission « Informatique et libertés » par Pierre MESSMER (1er
Ministre)  moyens pour encadrer le traitement informatique des données liées à des
personne physiques
 1.3. 1978

 La loi « Informatique et Libertés » entre en vigueur le 6 janvier 1978

 Principe : L’informatique doit être au service de chaque citoyen et ne doit pas porter
atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privé, ni aux libertés
individuelles et publique (Art. 1er )
 CNIL (Commission Nationale d’Informatique et des Libertés) : la loi crée une autorité de
contrôle indépendante des pouvoirs publics : donne son avis sur les projets de
traitement de données émanant des services publics, veille au respect des dispositions
légales protectrices des personnes.

1.4. 1995
 Directive européenne 95/46/CE, pour la protection des personnes et libre circulation des
données, a été adopté le 24/10/1995
 Basée sur les principes et les concepts de la loi française du 06/01/1978.

1.5. 2004

 Refonte de la loi Informatique et liberté (Internet, nanotechnologie, développement

biométrie, ...)
 Notion de donnée à caractère personnel au lieu de données nominatives.
 La protection s’étend aux fichiers « papier ».
 Le secteur privé est soumis à un régime d’autorisation préalable pour certains
traitements de données.
 La CNIL est investie d’un pouvoir de sanction.
 Création de la fonction CIL (Correspondant Informatique et Libertés)
 1.6. 2016

 La loi pour une république numérique (7/10/2016) enrichit la loi informatique et Libertés
et renforces les droits des personnes :
 Chacun dispose du droit de décider et de contrôles les usages qui sont faits de ses
données.
 En Europe, adoption de la directive dite « Police-Justice » encadrant les traitements mise
en œuvre
 Adoption du règlement Général sur la protection des données (RGPD), 27/04/2016.
 Entrée en vigueur du RGPD le 25/05/2016,

1.7. 2018
 Entrée en vigueur du RGPD le 25/05/2018, dans chacun des pays de l’UE et pour
l’ensemble des acteurs mettant en œuvre des traitements des données rapportant à des
personnes physiques se trouvant sur le territoire.
 La France et les états membres de l’UE conserve sa propre législation « Informatique et
libertés en complément
 Chaque membre transpose en droit interne la directive « police-justice » et comprend
des règles spécifiques permises par le règlement (traitement NSS, données d’infractions,
conditions de validité du consentement des mineurs pour les services de la société de
l’information, ..)
 Le RGPD s'applique uniquement sur le territoire de l'Union européenne. En revanche, le
texte concerne toutes les entités qui détiennent des données personnelles de citoyens
de l'Union, qu'importe leur situation géographique. Une société française est donc
concernée si elle manipule des données de personnes européennes ; idem pour une
firme japonaise, une compagnie américaine ou un groupe chilien.

 Le RGPD devient le nouveau texte de référence de l'Union européenne en matière de

données personnelles. L'un des buts de ce règlement est d'harmoniser le paysage
 juridique du Vieux Continent, afin qu'il n'y ait qu'un seul et même cadre qui s'applique
parmi l'ensemble des États membres.

 La protection des données personnelles ne s’applique qu’aux personnes physiques. Un

fichier recensant des informations sur des personnes morales (n° SIRET par exemple) ne
relèvera pas de la protection des données personnelles. Par ailleurs, les personnes
morales ne peuvent pas se prévaloir d’une atteinte à leur vie privée.

 Le RGPD est appliqué à partir du 25 mai 2018. Le 24 mai 2016 est sa date d'entrée en
vigueur, tandis que le 15 décembre 2015 est celle où un accord entre le Conseil, le
Parlement et la Commission a été trouvé. Quant au 21 décembre 2012, il s'agit d'une
date liée à une obscure prédiction de fin du monde... qui n'a jamais eu lieu.

 Le RGPD est appliqué à partir du 25 mai 2018. Le 24 mai 2016 est sa date d'entrée en
vigueur, tandis que le 15 décembre 2015 est celle où un accord entre le Conseil, le
Parlement et la Commission a été trouvé. Quant au 21 décembre 2012, il s'agit d'une
date liée à une obscure prédiction de fin du monde... qui n'a jamais eu lieu.

 Avec le RGPD, une certaine marge d’appréciation est laissée aux États membres de
l’Union européenne pour choisir l'âge à partir duquel se déclenche la majorité numérique,
c'est-à-dire le moment à partir duquel un jeune peut donner son accord pour le traitement
de ses données personnelles, sans avoir besoin de passer par ses parents ou la personne qui
exerce l’autorité parentale. En France, c'est 15 ans.
 La portabilité permet de récupérer une archive contenant toutes les informations qu'un
service a sur vous. Cela vous permet par exemple d'aller les emmener avec vous pour les
envoyer sur un service concurrent par exemple (pour passer de Deezer à Spotify par
exemple, ou de YouTube à Dailymotion). Aussi, il faut que cette archive soit dans un
format structuré, lisible par une machine, afin que le transfert se fasse le plus facilement
possible.
 Avec le RGPD, il est possible d'infliger une amende administrative pouvant atteindre au
maximum 4 % du chiffre d'affaires mondial d'une multinationale. On est très loin du
niveau de sanction précédent, lorsque la CNIL ne pouvait sanctionner qu'à hauteur de 150
 000 euros. Pour des géants du net, une telle sanction, si elle était prononcée, se chiffrerait
en dizaines voire en centaines de millions d'euros.
 Toutes les données sont concernées par le RGPD, y compris celles qui ne sont pas dans un
format numérique. En clair, si des informations sont inscrites sur papier, alors il faut que
l'organisation qui les collecte et les traite respecte le cadre du texte, comme il le fait pour
des éléments numériques.
 En cas de violation de données à caractère personnel, le responsable du traitement doit en
notifier l'autorité de contrôle compétente dans les meilleurs délais et, si possible, 72
heures au plus tard après en avoir pris connaissance, sauf cas très particuliers. Si la
notification a lieu plus tard, il faut que le responsable du traitement donne les raisons de ce
retard.

 La règle générale est que toute entité qui procède à la collecte et au traitement de données
personnelles doit obtenir au préalable un accord écrit, clair et explicite des individus. Cela
étant, il existe des cas de figure où le recueil du consentement des personnes n’est pas
requis. C'est le cas par exemple pour respecter une obligation légale, exécuter un contrat
ou si le responsable du traitement a un intérêt légitime.
 En principe, le processus de transfert doit être bouclé dans un délai maximal d'un mois.
Mais le RGPD prévoit une exception à cette règle : dans certains cas de figure où la
réunion des renseignements est particulièrement complexe à mettre en œuvre, ce délai
peut-être élargi à deux mois.
 La notion de « privacy by design » consiste à ce que le responsable du traitement mette en
œuvre les mesures techniques et organisationnelles appropriées pour garantir que soit
prise en compte la protection de la vie privée dès la conception du service ou du produit.
 Le RGPD concerne : La personne concernée, le responsable du traitement des données et
le sous-traitant. La personne concernée est définie comme une personne physique, par
exemple un citoyen d’un pays de l’UE ou d’un autre pays. Le responsable du traitement
des données peut être une personne physique ou morale. Le responsable du traitement des
données détermine les finalités et les conditions du traitement des données à caractère
personnel, par exemple les sociétés à but lucratif, les sociétés sans but lucratif, les
gouvernements, les organismes publics et les personnes. Le sous-traitant peut être une
 personne physique ou morale qui traite les données à caractère personnel au nom du
responsable du traitement des données, par exemple un fournisseur informatique. Le
RGPD impose plusieurs obligations au responsable du traitement des données, qui est
l’organe responsable en dernier ressort du traitement licite des données à caractère
personnel. Les responsables du traitement des données ne doivent faire appel qu’à des
sous-traitants capables de répondre aux exigences du traitement licite des données à
caractère personnel prescrit par le RGPD
 Qu’est-ce que le RGPD considère comme un consentement légal ?
 Une action claire par laquelle la personne concernée exprime librement et de manière
spécifique son consentement au traitement des données à caractère personnel
 Selon le RGPD, le consentement doit être donné par le biais d’un acte positif clair par
lequel la personne concernée exprime librement, de manière spécifique, en connaissance
de cause et sans équivoque son consentement au traitement des données à caractère
personnel, par exemple au moyen d’une déclaration écrite, y compris par des moyens
électroniques, ou une déclaration orale. Cela peut se faire en cochant une case lors de la
consultation d’un site web, en sélectionnant certains paramètres techniques pour les
services informatiques ou au moyen de toute autre déclaration ou tout autre comportement
indiquant clairement que la personne concernée accepte le traitement proposé de ses
données à caractère personnel. Il ne peut donc y avoir consentement en cas de silence, de
cases cochées par défaut ou d’inactivité. Le consentement donné doit s’appliquer à toutes
les activités de traitement ayant la ou les mêmes finalités. Si le traitement a plusieurs
finalités, un consentement doit être donné pour chacune d’entre elle. Si le consentement
de la personne concernée est donné à la suite d’une demande par voie électronique, la
demande doit être claire et concise, et ne doit pas nécessairement perturber l’utilisation du
service pour lequel il est donné
 Les contrevenants au RGPD peuvent se voir infliger une amende allant jusqu’à 20
millions d’euros (€) ou jusqu’à 4 % du chiffre d’affaires mondial annuel de l’exercice
précédent dans le cas d’une entreprise, le montant le plus élevé étant retenu. Les amendes
sont basées sur plusieurs facteurs, notamment : la nature de l’infraction, l’intention, les
mesures prises pour atténuer les dommages causés aux personnes concernées, les mesures
préventives en place, la coopération avec les autorités et le type de données.
 Le 21 janvier 2019, le comité restreint de la CNIL a infligé une pénalité financière de 50
millions d’euros (€) à Google, conformément au RGPD, pour manque de transparence,
informations insuffisantes et manque de consentement valide concernant la
personnalisation des publicités.
 Dans le contexte du digital analytics, quelle condition le fournisseur doit-il remplir pour
que la collecte de données soit conforme au RGPD ? Il doit obtenir le consentement des
utilisateurs. E, effet L’article 6 du RGPD stipule qu’il est obligatoire d’obtenir le
consentement de la personne concernée, qu’elle ait « consenti au traitement de ses
données à caractère personnel pour une ou plusieurs finalités spécifiques ». Mais le RGPD
précise également d’autres obligations du responsable du traitement des données, telles
que l’obligation d’informer (articles 13 et 14) et l’obligation de répondre aux droits des
personnes concernées (articles 15, 16, 17, 18, 19, 20,
 Le contrat de traitement de données d’AT Internet décrit clairement les responsabilités de
chacune des parties et inclut tous les éléments clés du RGPD afin de préciser comment ils
seront appliqués. AT Internet fournit un contrat de traitement de données complet, clair et
compréhensible qui met en avant ce qui suit : • L’organisation répond à vos exigences en
termes de localisation et de transfert des données, d’implémentation de mesures
techniques et organisationnelles en vue d’assurer la sécurité de vos données et la
confidentialité dès la conception. • Elle garantit votre entière propriété des données
collectées en votre nom. • Elle fournit la technologie et les fonctionnalités requises pour
assurer votre conformité en fonction de vos besoins et de la législation, et vous soutient
dans cette voie. De plus, notre équipe d’assistance est formée à ces problématiques et
accompagne ses clients avec des conseils et des outils spécifiques dédiés.
 https://blog.atinternet.com/fr/rgpd-quiz-15-questions-pour-tester-vos-connaissances/
