
À LEURS JUSTES VALEURS


Le RGPD
RGPD & conformité RGPD, c’est quoi ?
- Les organismes publics,
- Les entreprises dont l’activité de base amène à :
- effectuer à grande échelle un suivi régulier et systématique des personnes ;
- traiter des données personnelles dites sensibles ou relatives à des condamnations pénales ou infractions.
Le respect du RGPD permet de sécuriser efficacement les données à caractère personnel et de prévenir les fuites de données, de renforcer son niveau de cybersécurité et surtout de déployer un process d’amélioration continue. Être conforme au RGPD garantit un niveau de protection optimal des données personnelles, et contribue à instaurer un cadre de confiance, en rassurant les collaborateurs, les usagers et/ou clients sur la gestion et le traitement de leurs données à caractère personnel.
RGPD, pour qui ?
- Le DPO / DPD (Data Protection Officer / Délégué à la Protection des Données) : chef d’orchestre de la gouvernance des données personnelles, pilote de votre mise en conformité et interlocuteur de la CNIL (attention pour des raisons de conflit d’intérêt, le DPO ne peut pas être une personne de votre service informatique interne ou externe ou le dirigeant).
- Le Responsable de traitement : personne physique, morale, autorité publique, service ou tout autre organisme, qui détermine les finalités et les moyens du traitement de données à caractère personnel (membre de la direction générale, DSI, DRH…).
- Le Co-responsable de traitement : personne physique, morale, autorité publique, service ou tout autre organisme, qui détermine conjointement les finalités et les moyens du traitement de données à caractère personnel.
- Le Sous-traitant : toute personne physique, morale, l’autorité publique, le service ou un autre organisme, qui traite des données à caractère personnel pour le compte du responsable de traitement.
- La Personne concernée : personne physique dont les données à caractère personnel sont traitées.
Les obligations du RGPD
Vous pouvez collecter et traiter des données à caractère personnel, à condition d’observer les règles imposées par le RGPD. Vous devez notamment :
- Être capable de prouver votre conformité (accountability, cartographie des traitements de données, registres de traitement, PIA…),
- Prendre les mesures techniques et organisationnelles de protection des données à caractère personnel requises par le RGPD,
- Respecter les principes du RGPD,
- Gérer les demandes d’exercice de droits des personnes concernées,
- Déterminer les responsabilités des acteurs,
- Pouvoir gérer une violation de données,
- Assurer la sécurité de vos systèmes d’information…
Les droits des personnes
- Un droit d’information clair et simple sur le traitement des données ;
- Un droit d’information en cas de violation de ses données personnelles ;
- Un droit de rectification de ses données personnelles ;
- Un droit à l’oubli permettant de supprimer les données ;
- Un droit à la limitation du traitement ;
- Un droit à la portabilité des données (notamment en cas de changement de fournisseur) ;
- Un droit d’opposition (encadrement du profilage) ;
- Un droit de retrait de son consentement ;
- Des dispositions propres aux personnes mineures.
- …
Les sanctions en cas de non-conformité RGPD
Les étapes de la mise en conformité RGPD
La mise en conformité RGPD nécessite d’établir un état des lieux détaillé des traitements de données au sein de l’entreprise et s’assurer que les données personnelles ne sont accessibles qu’aux personnes disposant des droits appropriés. Une fois l’audit RGPD réalisé, il est nécessaire de définir un plan d’action adapté et de mettre en place le processus de mise en conformité. La mise en conformité avec le RGPD nécessite plusieurs étapes :
- Réaliser un audit
- Prioriser et mettre en place les mesures de protection
- Maintenir et prouver la mise en conformité au RGPD (accountability)
Le DPO – Le Délégué à la Protection des Données
Régis par un code de déontologie, les Délégués à la Protection des Données garantissent la confidentialité, la qualité et l’intégrité de leurs démarches et de leurs conseils. Impliqués et respectueux de la réglementation en vigueur, les DPO sont les gardiens d’une mise en conformité optimale. Ils créent de la valeur en permettant aux organismes d’atteindre leurs objectifs stratégiques. L’éventail des missions et attributions des DPO est large :
- AUDITER ET INFORMER
- – Réalisation de l’état des lieux des données personnelles collectées et traitées – Sensibilisation des équipes et diffusion culture de la protection des données – Information et communication auprès des clients, fournisseurs, sous-traitants, partenaires
- CONSEILLER ET CONTROLER LE RESPECT DU RGPD
- – Assistance du responsable de traitement dans l’analyse de l’impact sur la protection des données – Construction de traitements de données respectueux de la vie privée et garantie de la conformité au RGPD – Définition des actions correctives à mettre en place et vérification de la bonne exécution – Mise en place opérationnelle du plan d’action – Pilotage en continu de la conformité et de la bonne application du RGPD – Formation d’un référent interne – Rédaction d’un rapport annuel pour le bilan de la mission DPO externe
- GERER LA DOCUMENTATION INTERNE
- – Constitution des registres (traitements, sous-traitants…) – Mise en place des procédures (violations de données, gestion des demandes, contrôles de la CNIL…) – Définition de la politique de protection des données de l’entreprise
- COOPERER AVEC LA CNIL
- – Interlocuteur privilégié avec la CNIL – Contact de référence pour les tiers dont les données sont collectées (réclamations, notifications et demandes) – Veille permanente sur les nouvelles obligations légales sur la protection des données
Retrouvez l’intégralité du règlement RGPD sur le site de la CNIL : cnil.fr
Besoin d’en savoir plus ?
Lexique RGPD