# A propos du RGPD ## Contexte et principes > CC-by-SA 4.0 - <informatique@cemea.asso.fr> > CC-by-SA 4.0 - <a href="https://letab.li">letab.li</a> ---- ## RGPD ? Mais encore ? Au-delà de l'acronyme ---- ### **LE** <!-- .element: class="fragment" data-fragment-index="4" --> Règlement Général <!-- .element: class="fragment" data-fragment-index="1" --> ### sur la Protection des Données <!-- .element: class="fragment" data-fragment-index="2" --> - un règlement, équivalent d'une loi au sein de toute l'Union Européenne <!-- .element: class="fragment" data-fragment-index="3" --> ---- **adopté le 14 avril 2016** après une longue période d'élaboration commencée en 2009. **entré en vigueur le 25 mai 2018**, s'applique dans toute l'Europe. --- ## Le RGPD ne vient pas de nulle part Pourquoi le RGPD au fait ? ---- #### Des ancêtres législatifs * 1950 : convention européenne des droits de l'homme : * Art. 8 : droit au respect de la vie privée et familiale * 1978 : projet SAFARI : projet fichage des citoyens * **la loi *Informatique et Libertés*** : obligation de déclarer de tout fichier manipulant ces données. * Naissance de la <a href="https://cnil.fr">CNIL</a>, une autorité indépendante * 1995 : informatique et e-commerce : directive sur protection des données personnelles * 2000 : Charte des droits fondamentaux de l'UE (art. 8 sur données personnelles) ---- #### Élement de contexte #1: la surveillance massive des États au grand jour  mai 2013 : <a href="https://fr.wikipedia.org/wiki/R%C3%A9v%C3%A9lations_d%27Edward_Snowden">Révélations d'Edward Snowden </a> : coopération à un programme massif de collecte de données personnelles par le gouvernement américain. ---- Câbles intercontinentaux, logiciels de messagerie, opérateurs téléphonique, e-mails... ---- Microsoft, Google, Apple, etc. : toutes les grandes entreprises américaines du numérique ont participé aux différents programmes de surveillance. ---- #### Élement de contexte #2: L'explosion des mouchards numériques Avec l'explosion des usages d'Internet est venue l’explosion des *mouchards numériques* sur les sites internets et dans les applications. ---- Un <a href="https://www.lemonde.fr/les-decodeurs/article/2018/03/30/cookies-mouchards-comment-vous-etes-suivis-sur-internet_5278722_4355770.html">mouchard numérique</a>, : bout de code informatique contenu dans un site ou une application qui va transmettre des données vous concernant à l'entreprise qui a mis le mouchard. ---- Certains de ces mouchards sont réalisés par des entreprises que vous connaissez, comme *Facebook* ou *Google*, d'autres par des entreprises spécialisées dans la publicité, comme *Criteo*... ---- Tous servent essentiellement pour de la **publicité ciblée**, où votre comportement est analysé pour déterminer si vous êtes censé⋅e·s être intéressé⋅e·s par tel ou tel produit. ---- ##### Ces mouchards numériques sont presque partout :sleuth_or_spy: *(au 20 nov 2023)* - **12** mouchards dans <a href="https://reports.exodus-privacy.eu.org/fr/reports/fr.meteo/latest/">l'application Meteofrance</a> - **15** mouchards dans <a href="https://reports.exodus-privacy.eu.org/fr/reports/fr.leboncoin/latest/">l'application Le bon Coin</a> - **12** mouchards dans <a href="https://reports.exodus-privacy.eu.org/fr/reports/com.aufeminin.marmiton.activities/latest/">l'application Marmiton</a> - **une douzaine** sur le site 6play.fr ---- #### Élément de contexte #3: L'enjeu des fuites de données Plus on multiplie les plateformes et outils numérisés qu'on utilise, plus on multiplie aussi la quantité de données stockées un peu partout, avec la possibilité de plus en plus grande que certaines de ces données soient perdues ou volées. > [Un exemple ?](https://www.nextinpact.com/lebrief/72289/les-donnees-dix-millions-demandeurs-demploi-dans-nature) ---- #### Élément de contexte #4: Des pouvoirs réduits de sanction Avant le RGPD, le pouvoir de sanction des différentes autorités nationales de protections des données étaient très faibles. En France, l'amende maximum que la CNIL pouvait infliger était de 150 000 €. --- ## Les grands principes du RGPD Dans le vif du sujet. ---- #### Art 3. Champ d'application Le RGPD s’applique à toutes les structures, européennes ou non, dès lors qu’elles "*ciblent*" des citoyen⋅ne⋅s européen⋅ne⋅s. Le ciblage se détermine en fonction de critères objectifs : publicité spécifique, paiement en Euro possible, langue utilisée... ---- Le RGPD s'applique donc à toutes les entreprises, collectivités locales ou associations européennes, sans exception. ---- #### Art 4. Quelles données sont concernées ? Le RGPD concerne les *données personnelles*, c'est à dire : > Toute information se rapportant à une personne physique qui peut être identifiée directement ou indirectement ---- #### Art 4. Traitement des données *Qu'est-ce qu'un traitement ?* > Vous avez 2 heures... ---- #### Art 4. Traitement des données > " tout ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel : " .../... ---- > "la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, la limitation, l'effacement ou la destruction;" ---- #### Art 5. Principes fondateurs du RGPD Les traitements de données personnelles doivent respecter un certain nombre de grands principes: ---- ##### Principe #1 : la liceité On ne peut collecter des données qu'en s'appuyant sur un certain nombre de **bases légales**: - l'exécution d'une mission de service public - l'exécution d'un contrat - le respect d'une obligation légale - etc.. ---- ##### Principe #2 : la loyauté et la transparence Les personnes dont les données sont collectées doivent être informées du cadre dans lequel les données sont collectées, des droits que cette collecte entraîne ainsi que des données précises qui sont collectées. Toute collecte de données doit se faire en toute honnêteté et en toute transparence. ---- ##### Principe #3 : la limitation des finalités Toute donnée collectée doit l'être pour une raison précise et spécifique et, une fois collectée pour cette raison, elle ne peut pas être utilisée pour une autre raison. Il existe juste certaines exceptions très spécifiques (archivage, statistiques...). ---- ##### Principe #4 : la minimisation On ne doit collecter que les données strictement nécessaires, et aucune donnée supplémentaire. ---- ##### Principe #5 : l'exactitude Les données doivent être tenues à jour, et modifiées si nécessaire en cas de changement. ---- ##### Principe #6 : la limitation dans le temps Toute donnée ne doit être conservée que pendant la durée qui est strictement nécessaire à la finalité pour laquelle elle a été collectée. Une fois cette finalité réalisée, la donnée doit être supprimée. ---- ##### Principe #7 : intégrité et confidentialité Toute donnée collectée ne doit être transmise qu'aux personnes qui en ont besoin, avec des mesures de sécurité permettant de les protéger et de garantir leur intégrité sur le long-terme. ---- #### Droits des personnes Les droits reconnus aux personnes dans le cadre RGPD découlent des grands principes que nous venons de voir. Tout d'abord, il faut expliciter le cadre des traitements réalisés. Le cadre, c'est-à-dire tout ce qui est listé plus haut : finalités, données concernées, base légale... ---- #### Responsabilités Il est du ressort d’une structure collectant des données de s’assurer d’avoir: > pris des mesures techniques et organisationnelles appropriées pour s'assurer et être en mesure de démontrer que le traitement est effectué conformément au présent règlement ---- ### En cas de fuite La structure doit aussi "*garantir un niveau de sécurité adapté au risque*", et notifier l’autorité de contrôle (CNIL) et la personne concernée en cas de perte ou de vol des données. ---- ### Hors UE Si les données sont transférées en dehors de l’Union Européenne, il faut s’assurer que le pays et la structure destinataires présentent des "*garanties appropriées"*, c'est-à-dire que les droits des personnes sont bien garantis. Un sujet particulièrement sensible est le transfert de données vers des prestataires américains. À l'heure actuelle, il existe une jurisprudence claire établissant **que tout transfert potentiel de données vers les USA pose problème**. --- #### La CNIL est votre amie ! Le RGPD est presque nouveau, mais la CNIL, qui est chargée de son application, ne l’est pas. Depuis sa création, elle a toujours montré une compréhension certaine à l’égard des associations, et une volonté claire de laisser aux structures le temps de se mettre en conformité en cas d’erreur de bonne foi. --- ### Le RGPD en un mot <!-- .element: class="fragment" data-fragment-index="1" --> <h2 class="perso"><span style="color:red">R</span>e<span style="color:red">GP</span>on<span style="color:red">D</span>abilité !</h2> <!-- .element: class="fragment" data-fragment-index="2" --> ---- ## Merci