Le Règlement général sur la protection des données (RGPD) est depuis 2018 le socle de tout traitement de données personnelles. En 2026 il ne tient plus seul : la loi néerlandaise sur la cybersécurité, NIS2 et le règlement IA s'imbriquent. Pour la plupart des collaborateurs, le RGPD reste la boussole : qu'est-ce que je peux faire, qu'est-ce que je ne peux pas, et que faire si quelque chose tourne mal ? Explication pragmatique, sans jargon.
Que sont les données personnelles ?
Toute information identifiant directement ou indirectement une personne : nom, e-mail, téléphone, IP, photo, NSS, parfois la combinaison date de naissance + code postal.
Catégories particulières : santé, origine, opinions politiques, religion, syndicat, orientation sexuelle, biométrie, génétique. Protection renforcée.
Au travail : toute liste/mail/base avec nom-et-plus = données personnelles ; santé, ID, biométrie = particulièrement sensible.
Les six principes du RGPD
Article 5 RGPD. À refléter dans le comportement :
- Licéité, loyauté, transparence.
- Limitation des finalités.
- Minimisation des données.
- Exactitude.
- Limitation de la conservation.
- Intégrité et confidentialité.
Droits des personnes concernées
Droit d'accès : réponse en principe sous un mois.
Rectification et effacement (« droit à l'oubli »).
Limitation et opposition.
Collaborateurs : transmettre immédiatement toute demande au DPO ; ne pas répondre soi-même.
Fuite de données : qu'est-ce et que faire
Fuite : violation de sécurité avec perte, accès non autorisé ou altération. Ex. : portable perdu, mail au mauvais destinataire, système piraté, dossier client partagé en public par erreur.
Obligation de notification : 72 heures à l'autorité de contrôle (art. 33). Risque élevé : informer aussi les personnes (art. 34).
En pratique : signaler en interne immédiatement à l'IT, au DPO, à l'équipe sécurité. Ne pas juger soi-même.
RGPD, règlement IA et NIS2 : interactions
RGPD et règlement IA : IA traitant des données personnelles = les deux s'appliquent.
RGPD et NIS2/Cbw : une fuite est souvent aussi un incident cyber à signaler.
RGPD et DORA : pour la finance, les deux ; un incident ICT touchant des données déclenche deux notifications.
Comment ancrer cela dans un programme de sensibilisation
Sensibilisation RGPD dans le programme de base. Module 6–8 minutes sur les principes et la route de signalement, approfondissement pour RH, marketing, service, santé.
Visibilité pratique : guide rapide « fuite suspectée », onboarding, rapport annuel au conseil.
Documentation Cbw : plateforme centrale, rapports d'audit à la demande.
Découvrez comment 2LRN4 traduit ce sujet en un programme opérationnel avec formation, simulation de phishing et reporting pour la direction.
Voir la page NIS2Articles connexes
- Comment éviter de partager des données par erreur
- Lier déclaration de fuite et sensibilisation
- Exigences de conformité pour la sensibilisation
- Principes de base de la sécurité des appareils
Sources
- RGPD (EUR-Lex, texte officiel)
- Autorité de protection des données néerlandaise (AP)
- European Data Protection Board (EDPB)
FAQ
Que sont les données personnelles ?
Toute information identifiant une personne. Catégories particulières (santé, biométrie, religion) plus protégées.
Quand y a-t-il fuite ?
Violation de sécurité avec perte, accès non autorisé ou altération de données personnelles.
Dans quel délai notifier ?
72 heures à l'autorité en cas de risque ; aussi les personnes en risque élevé.
Que faire d'une demande RGPD ?
Transférer immédiatement au DPO ; ne pas répondre soi-même.
Traducteur en ligne gratuit pour un document client ?
De préférence non ; utiliser un service approuvé. Sinon problème RGPD.
Qu'est-ce que la limitation des finalités ?
Données collectées pour A ne pas réutiliser pour B.
RGPD et règlement IA ?
IA traitant des données personnelles : les deux. AI Act ajoute classification de risque et littératie IA depuis février 2025.
Source externe : European Commission - NIS2 Directive