Tout savoir sur le RGPD

RGPD

Définition et but du RGPD 

Le RGPD (Règlement Général sur la Protection des Données) ou GDPR (General Data Protection Regulation) en anglais a pour but d’harmoniser la gestion des données dans l’ensemble des pays de l’Union européenne.

Selon la CNIL, « une donnée à caractère personnel est une information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement ». Les données les plus courantes sont : les informations bancaires, carte de fidélité, caméra, historique web, données des salariés et des candidats ou encore fichier clients et prospects.

Son objectif est de donner aux citoyens d’avantage de contrôle et de visibilité sur leurs données privées notamment pour savoir quels sont les données collectées, leur but et leur durée de conservation. Le principal enjeu pour les entreprises est donc de savoir où sont ces données et comment pouvoir les transmettre aux personnes concernées. Cela suppose donc qu’une entreprise doit à tout moment savoir :

  • De quelles données elle dispose
  • Leurs localisations
  • L’objectif de leurs collectes
  • Les modes de gestion, stockage, transfert et d’effacement des données

Qui sont concernés ?

Le RGPD concerne tous les acteurs économiques et sociaux proposant des biens ou des services sur le marché de l’Union européenne dès lors que leurs activités traitent des données personnelles sur les résidents de l’Union européenne. Ainsi, sont donc concernées les entreprises, les associations, les organismes publics, les sous-traitants et de nombreuses entreprises hors Union européenne.

Ces acteurs doivent se mettent en conformité avant le 25 mai 2018 sous peine de sanctions. En effet, les autorités peuvent prononcer d’importantes amendes administratives : selon la catégorie de l’infraction, de 10 à 20 millions d’euros ou de 2 à 4 % du chiffre d’affaires annuel mondial.

Principes fondamentaux du RGPD :

Plusieurs principes sont à respecter afin de se mettre en accord avant le 25 mai 2018. Ils sont au nombre de sept :

  • L’accountability désigne l’obligation pour les entreprises de mettre en œuvre des mécanismes et des procédures internes permettant de démontrer le respect des règles relatives à la protection des données.
  • L’obligation de respecter les principes de protection dès la conception (appelée Privacy by design) et de protection des données par défaut (appelée Privacy by Default).
  • Le RGPD demande aux entreprises de réaliser une étude d’impact sur la protection des données personnelles avant la mise en œuvre de nouveaux traitements de données qui pourraient potentiellement présenter des risques d’atteintes aux droits et aux libertés individuelles. Une étude doit aussi être faite dans le but de diminuer l’impact des dommages potentiels à la protection des données personnelles.
  • L’obligation d’information de l’autorité et des personnes des failles de sécurité sur des données personnelles et cela dans les 72 heures maximum après la découverte.
  • Le droit à la portabilité qui permet aux utilisateurs ayant fourni des données à une entreprise de pouvoir les recevoir dans un format permettant leurs transmissibilités à une autre entreprise.
  • Le droit à l’effacement des données personnelles à la demande des utilisateurs.
  • La nomination d’un délégué à la protection des données : DPO
    Sa désignation est obligatoire dans des cas spécifiques et ses missions sont nombreuses.

Le délégué à la protection des données (DPO) :

La désignation d’un DPO est obligatoire dans trois cas spécifiques :

  • Lorsque le traitement est effectué par une autorité publique ou un organisme public.
  • Quand les activités de base du responsable de traitement ou du sous-traitant consistent en des opérations de traitement qui, du fait de leur nature, de leur portée et/ou de leur finalité, exigent un suivi régulier et systématique à grande échelle des personnes concernées.
  • Lorsque les activités de base du responsable du traitement ou du sous-traitant, consistent en un traitement à grande échelle de données dites « sensibles » (données de santé, données biométriques, opinions politiques ou encore convictions religieuses).

Le délégué à la protection des données ne pourra pas occuper un autre poste dans l’organisation qui conduirait à déterminer les finalités et les moyens de traitement des données à caractère personnel.

Ces missions sont nombreuses et vont permettre la réussite d’une bonne conformité avec la RGPD. Ils sont aux nombres de quatre :

  • Informer et conseiller le responsable de traitement ou le sous-traitant, ainsi que leurs employés.
  • Contrôler le respect du règlement et du droit national en matière de protection des données.
  • Conseiller l’organisme sur la réalisation d’une analyse d’impact relative à la protection des données et d’en vérifier l’exécution.
  • Coopérer avec l’autorité de contrôle et être le point de contact de celle-ci.

Se préparer en 6 étapes :

La CNIL a défini six étapes pour se mettre en conformité avec la RGPD.

  • Désigner un pilote : L’entreprise devra désigner un délégué à la protection des données. Il exercera une mission d’information, de conseil et de contrôle en interne.
  • Cartographier : Il faudra ensuite recenser de façon précise vos traitements de données personnelles. L’élaboration d’un registre de traitements permettra à l’entreprise de faire le point.
  • Prioriser : L’entreprise va devoir identifier les actions à mener pour se conformer aux obligations actuelles et à venir. Il faut ainsi prioriser ces actions en fonction des risques sur les droits et les libertés des personnes concernées.
  • Gérer les risques : Une analyse d’impact doit être menée lorsque des traitements de données personnelles sont susceptibles d’engendrer des risques élevés pour les droits et libertés des personnes concernées.
  • Organiser : L’entreprise va déterminer des processus internes pour garantir la prise en compte de la protection des données à tout moment. Il faut prendre en compte l’ensemble des événements qui peuvent survenir au cours de la vie d’un traitement (faille de sécurité, gestion de la remontée d’informations, gestion des réclamations et demandes des personnes concernées).
  • Documenter : Pour prouver la conformité au règlement en cas de contrôle, l’entreprise doit constituer et regrouper la documentation nécessaire.
    Les actions et documents réalisés à chaque étape doivent être réexaminés et actualisés régulièrement pour assurer une protection des données en continu.

Pour plus d’informations, voici le guide complet proposé par la CNIL : https://www.cnil.fr/fr/principes-cles/reglement-europeen-se-preparer-en-6-etapes

En conclusion :

Il ne faut pas oublier que le RGPD n’est pas un projet avec une date de début et de fin. La mise en conformité est un processus qui devra vivre avec l’entreprise mais également prendre en compte les jurisprudences qui seront fixées.

Pour plus d’informations sur le RGPD, vous trouverez ici son texte intégral : https://www.cnil.fr/fr/reglement-europeen-protection-donnees/

RGPD