Qu'est-ce que le RGPD ?
Le RGPD, ou Règlement général sur la protection des données, est le texte européen entré en application en mai 2018. Il a profondément rehaussé le niveau d'exigence en matière de vie privée et sert aujourd'hui de modèle à de nombreuses législations dans le monde, dont la Loi 25 au Québec.
Ce n'est pas une simple politique de confidentialité : c'est un cadre de responsabilité qui oblige les organisations à démontrer, preuves à l'appui, comment elles protègent les données personnelles.
Pourquoi c'est important pour votre organisation
Le RGPD s'applique dès qu'une organisation traite des données de personnes situées dans l'Union européenne, quelle que soit sa localisation. Les sanctions sont dissuasives, mais l'enjeu dépasse l'amende : un manquement expose à une perte de confiance des clients et à des restrictions sur les transferts de données.
Le règlement introduit le principe de responsabilité (accountability) : il ne suffit pas d'être conforme, il faut pouvoir le prouver à tout moment.
Les principes clés
- Licéité, loyauté, transparence : traiter les données sur une base légale claire et compréhensible.
- Limitation des finalités : ne collecter que pour des objectifs déterminés.
- Minimisation : ne traiter que les données strictement nécessaires.
- Droits des personnes : accès, rectification, effacement, portabilité, opposition.
- Sécurité et notification : protéger les données et signaler les violations sous 72 heures.
- Encadrement des transferts : garantir un niveau de protection adéquat hors de l'Union européenne.
Où les organisations pèchent le plus souvent
Les écarts fréquents ne portent pas sur la politique affichée, mais sur l'exécution : un registre des traitements incomplet, des durées de conservation non définies, des sous-traitants sans contrat conforme, ou une incapacité à répondre dans les délais à une demande d'exercice de droits. Le RGPD se joue dans la preuve continue, pas dans la déclaration d'intention.