Le Règlement général de protection des données renforce la responsabilité des acteurs, des personnes concernées mais aussi le pouvoir de l’autorité de protection des données. Le règlement a été publié au journal officiel de l’Union Européenne le 4 mai 2016 et est entré en application le 25 mai 2018. Le texte adopté comprend 173 considérants et 99 articles répartis sur 10 chapitres.

Le champ d’application du ‘règlement de protection des données’ concerne tous les traitements de données à caractère personnel, automatisés ou pas.

Le Règlement général de protection des données cible trois types de données à caractères personnel, les données courantes, les données sensibles et données sensibles hautement personnelles. Il s’agit de toute information se rapportant à une personne physique identifiée ou identifiable; est réputée être une «personne physique identifiable» une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale; (Art4.1 du RGPD) DCP courantes: État-civil, identité, données d'identification Vie personnelle (habitudes de vie, situation familiale, hors données sensibles ou dangereuses…) Vie professionnelle (CV, scolarité formation professionnelle, distinctions…) Informations d'ordre économique et financier (revenus, situation financière, situation fiscale…) Données de connexion (adresses IP, journaux d’événements…) Données de localisation (déplacements, données GPS, GSM…) DCP perçues comme sensibles: Numéro de registre national Données biométriques Données bancaires DCP hautement personnelles: Opinions philosophiques, politiques, religieuses, syndicales, vie sexuelle, données de santé, origine raciales ou ethniques, relatives à la santé ou à la vie sexuelle Infractions, condamnations, mesures de sécurité

Au sens du Règlement de protection des données, un traitement est toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, la limitation, l'effacement ou la destruction; (Art4.2 du RGPD) Exemple de traitement : Shadow IT (fichier Excel), dossier RH d’un membre du personnel, géolocalisation, renouvellement de la carte d’identité, obtention d’un passeport,…

Le recensement des acteurs est définit comme suit : • Le responsable de traitement : la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement; lorsque les finalités et les moyens de ce traitement sont déterminés par le droit de l'Union ou le droit d'un État membre, le responsable du traitement peut être désigné ou les critères spécifiques applicables à sa désignation peuvent être prévus par le droit de l'Union ou par le droit d'un État membre; (Art4.7 du RGPD) • Le sous-traitant : la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement; (Art4.8 du RGPD) • Le destinataire : la personne physique ou morale, l'autorité publique, le service ou tout autre organisme qui reçoit communication de données à caractère personnel, qu'il s'agisse ou non d'un tiers. Toutefois, les autorités publiques qui sont susceptibles de recevoir communication de données à caractère personnel dans le cadre d'une mission d'enquête particulière conformément au droit de l'Union ou au droit d'un État membre ne sont pas considérés comme des destinataires; le traitement de ces données par les autorités publiques en question est conforme aux règles applicables en matière de protection des données en fonction des finalités du traitement; (Art4.9 du RGPD) • Personne concernée : "données à caractère personnel", toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée "personne concernée"); est réputée être une "personne physique identifiable" une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale; (Art4.1 du RGPD) • Le délégué à la protection des données : Avec une fonction située au cœur de la conformité au règlement européen sur la protection des données (RGPD), le délégué à la protection des données (DPO) conseille et accompagne les organismes qui le désignent dans leur conformité. • Tiers : "tiers", une personne physique ou morale, une autorité publique, un service ou un organisme autre que la personne concernée, le responsable du traitement, le sous-traitant et les personnes qui, placées sous l'autorité directe du responsable du traitement ou du sous-traitant, sont autorisées à traiter les données à caractère personnel; (Art4.10 du RGPD)