Qu’est-ce que le RGPD?
La notion de donnée personnelle
Une « donnée personnelle » est « toute information se rapportant à une personne physique identifiée ou identifiable ». Une personne peut être identifiée:
- directement: par son nom ou son prénom
- indirectement: par un indentifiant client, un numéro de téléphone, la voix ou l’image etc..
Une personne physique peut être identifiée à partir d’une seule donnée (numéro de carte de sécurité sociale), ou à partir du croisement d’un ensemble de données (personne vivant à telle adresse, née un tel jour)
Le traitement de données personnelles
Un « traitement de données personnelles » est une opération, ou ensemble d’opérations, portant sur des données personnelles, quel que soit le procédé utilisé (collecte, enregistrement, organisation, conservation, adaptation, modification, extraction, consultation, utilisation, communication par transmission diffusion ou toute autre forme de mise à disposition, rapprochement).
Pourquoi ces amendes records?
Pour Ross McKean, présidente de l’UK Data Protection and Security Group, l’augmentation des amendes au titre du RGPD est une chose, mais « c’est le jugement Schrems II et ses implications profondes sur les transferts données (qui) se sont imposés comme le principal défi de conformité en matière de protection des données pour de nombreuses organisations concernées par le RGPD », cite le billet de DLA Piper. Dans son enquête, le cabinet juridique montre que l’arrêt Schrems II ne crée pas seulement un risque d’amendes et de demandes d’indemnisation. Il y a aussi un risque d’interruption de service en cas de suspension des transferts de données, ce qui peut potentiellement être beaucoup plus coûteux que les amendes. Parallèlement, Ross McKean s’attend à ce qu’il ait en 2022 d’autres appels sur les amendes infligées dans le cadre du RGPD.
La semaine dernière, sur ces questions, la CNIL autrichienne a estimé que l’usage de Google Analytics enfreignait le RGPD en collectant des données traitées ensuite aux Etats-Unis.