Le RGPD : qu’est-ce que c’est et comment ça marche ?

Le nouveau règlement européen sur la protection des données personnelles, autrement appelé règlement général sur la protection des données (RGPD) ou en anglais General Data Protection Regulation, entrera en application le 25 mai 2018 et permettra à l’Europe de s’adapter aux nouveaux enjeux du numérique.

 

Il a un double objectif :

– plus de transparence et contrôle pour les personnes dont les données sont manipulées par les entreprises, y compris pour les entreprises situées hors UE.

– offrir une meilleure confidentialité et protection pour les données, notamment par une harmonisation dans l’ensemble de l’UE de la gestion des données des résidents UE.

 

Qui est concerné : les entreprises (toute taille/tous secteurs), organismes publiques, associations, entreprises dont siège est hors UE mais dont l’activité concerne l’UE et ses résidents ;

en bref, toute organisation traitant des données personnelles ; ou systématiquement lorsqu’un résident européen est visé par un traitement de donnée.

 

Quelles données sont concernées :

Toute donnée dite « personnelle », c’est-à-dire toute donnée permettant d’identifier, même de manière indirecte, une personne physique. ex : nom prénom coordonnées adresses mail, santé, immatriculation VHL, n° contrat ou n° client

NB : les données « sensibles » regroupent à la fois les renseignements sur les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses, les données relatives à la santé, à l’orientation sexuelle, les données génétiques ou biométriques ou bien enfin les historiques d’infractions ou de condamnations pénales.

 

Les principes et exigences des nouvelles normes ?

1- La responsabilisation (accountability en anglais) : c’est à l’entreprise et à ses sous-traitants de se mettre en conformité avec la réglementation. De plus, tous doivent être en mesure de démontrer que les démarches pour se mettre en conformité ont été entreprises.

2- La sécurité dès la conception (privacy by design) : c’est-à-dire que les services et produits issus de l’activité des organismes régis par la nouvelle réglementation se doivent d’assurer la protection des données personnelles collectées. Ce principe concerne également les systèmes d’information d’une nouvelle base de données mise en place ou encore le système de protection d’une application dès sa conception.

3- La protection en cas de compromission (security by default) : le système d’information doit posséder différents niveaux de sécurité. Il doit être capable de détecter toute anomalie ou intrusion, et apporter des solutions pour y remédier.

4- La désignation d’un DPO (Data Protection Officer) dont le rôle consiste à s’assurer de la conformité au RGPD, mais également d’être l’interlocuteur avec les autorité de la CNIL.

NB : Pour les TPE et PME, il est possible de désigner un DPO qui œuvre pour plusieurs entreprises à la fois.

5- La réalisation d’étude d’impact : Préalablement à la mise en œuvre d’un système de traitement de données susceptible faire l’objet d’atteintes, un document doit résumer les différents risques auxquels ce système s’expose et dresser un panel de mesures pour réduire l’impact d’une faille potentielle.

 

L’idée majeure : renforcer le droit des individus :

Transparence : l’information mise à disposition à qui de droit se doit d’être accessible, intelligible et claire. Les clients ou utilisateurs qui mettent à disposition leurs données personnelles doivent être informés de l’usage qui en est fait et ils doivent fournir leur consentement explicite.

Droit d’accès : les utilisateurs peuvent demander à tous moments l’accès aux données qui les concernent.

Droit à la portabilité : redonner aux clients la maîtrise de leurs données. Leur permettre de les récupérer sous format ouvert et lisible afin de les stocker ou de les réutiliser.

Droit à l’oubli : un utilisateur peut demander l’effacement des données à caractère personnel qui le concerne.

Droit de réparation des dommages matériels ou moraux : toute personne ayant subi un préjudice du fait d’une violation des RGPD peut demander réparation au responsable ou au sous-traitant du traitement des données.

 

Des responsabilités partagées entre Représentant légal de l’organisme, le Data Protection Officer, et les sous-traitants, qui eux aussi, se doivent de respecter les grands principes, mais également de fournir des conseils auprès du responsable pour le traitement des données. En cas de problème, le responsable de traitement ainsi que le sous-traitant pourront être sanctionnés.

 

Quelles sanctions : il convient de bien se protéger car les sanctions sont de taille : la somme la plus importante sera retenu entre 20 millions d’euros d’amende ou 4 % CA annuel en cas de violation des principes de base ou en cas de non-respect du droit d’accès des personnes physiques. De plus, des dommages et intérêts pour préjudice subi suite à un non respect des RGPD sera également à prévoir, toujours à la charge des entreprises.

Toutefois, la sanction peut se  cantonner à 10 millions d’euros d’amende ou 2 % CA annuel s’il s’agit de faute telle que la non tenue du registre de traitement des données, de non réalisation d’étude d’impact, ou bien faute de mesure de sécurité appropriée  mise en place par les responsables de traitement et/ou les sous-traitants, 

 

Voici les étapes indispensables pour se mettre en conformité avec le RGPD.

  • Générer des mention d’information*1 : informer qui est derrière la collecte, combien de temps ces données seront conservées, à quelles fins et comment exercer ses droits.
  • Créer un formulaire de contact par lequel vos clients peuvent demander d’accéder aux données qui les concernent
  • Demander l’accord aux personnes et leur permettre de le retirer
  • Adopter un système de sécurité adapté*2
  • Analyse du système d’information, des fichiers, de tous les documents contenant des données personnelles
  • Créer un registre de traitement des données*3
  • Prévoir des clauses de protection des données avec les sous-traitants*4
  • Notifier à la CNIL les violations de données sous 72h
  • Si les données sont jugées sensibles, une étude d’impact doit être réalisée*5

 

Quelques liens utiles :

Se préparer à la RGPD en six étapes

Modèles de mention d’information*1

Guide de la securite des donnees personnelles*2

Cartographier vos traitements de donnees personnelles*3

Sous-traitance, exemple de clause*4

outil CNIL – telechargez et installez le logiciel de simulation*5

 

Les commentaires sont fermés