644, croisement des avenues luambo makiadi et Bokassa, Kinshasa - GombeLe Règlement général sur la protection des données (RGPD) (UE) 2016/679 est un règlement du droit européen relatif à la vie privée et à la protection des données personnelles, applicable à toutes les personnes au sein de l’Union européenne et de l’Espace économique européen. Il a été adopté en 2018. Ce règlement encadre également l’exportation de données personnelles en dehors de l’UE et de l’EEE. Le RGPD a pour objectif de donner aux citoyens et résidents les moyens de contrôler leurs données personnelles et d’unifier le cadre réglementaire européen.[1]
Le règlement abroge la Directive sur la protection des données personnelles de 1995 (95/46/CE) et contient des clauses et exigences relatives au traitement des informations personnelles dans l’Union européenne. Il s’applique à toutes les entreprises opérant dans l’Espace économique européen, quel que soit leur pays d’origine. Les processus d’entreprise traitant des données personnelles doivent être conçus dès le départ et par défaut avec des mesures respectant les principes de protection des données par défaut et dès la conception (privacy by design), ce qui signifie que les données doivent être stockées en utilisant la pseudonymisation ou l’anonymisation complète, avec les plus hauts paramètres de confidentialité par défaut, afin que les données ne puissent pas être divulguées sans consentement explicite, ni utilisées pour identifier une personne sans informations supplémentaires stockées séparément. Le règlement n’autorise pas le traitement des données en dehors du cadre légal spécifié, sauf si le responsable du traitement a reçu un consentement explicite et un opt-in du propriétaire des données. Ce dernier a aussi le droit de retirer ce consentement à tout moment.
Le responsable du traitement des données personnelles doit clairement déclarer toute collecte de données, le cadre juridique qui permet cette collecte, la finalité du traitement, la durée de conservation des données, et si ces données seront partagées avec des tiers hors de l’Union européenne. Les utilisateurs ont le droit d’exiger une copie des données collectées dans un format courant, ainsi que le droit d’exiger la suppression de ces données dans certaines circonstances. Les autorités publiques et les entreprises dont l’activité principale est le traitement régulier ou systématique de données personnelles doivent avoir un data protection officer (DPO), responsable de garantir la conformité au RGPD. Les entreprises sont également tenues de notifier toute violation de données dans un délai de 72 heures lorsqu’elle impacte la vie privée des utilisateurs.
Le règlement a été adopté le 15 avril 2016.[2] Après une période de transition de deux ans, il est entré en vigueur le 25 mai 2018.[3] Étant un règlement, et non une directive, il n’a pas nécessité d’adoption législative supplémentaire par les États membres, ce qui le rend directement applicable et contraignant.[4]
