Le RGPD

RGPD & conformité RGPD, c’est quoi ?

En application depuis le 25 mai 2018, le Règlement Général Européen de Protection des Données (RGPD) s’applique uniformément à tous les Etats membres de l’Union Européenne, dont la France, et leur confère un niveau équivalent de protection des données personnelles. Le RGPD s’inscrit dans la continuité de la Loi Informatique et Libertés de 1978 (principe de finalité, pertinence et proportionnalité, durée limitée, sécurité et confidentialité, respect du droit des personnes), en renforçant les exigences ayant trait à la collecte et au traitement des données personnelles.

L’article 5 du RGPD précise les principes phares : licéité, loyauté et transparence, limitation des finalités, minimisation des données, conservation limitée des données, exactitude des données et sécurité des données. Certaines dénominations ont été modifiées mais ces principes ne sont pas totalement inconnus aux responsables de traitements.

Le RGPD implique la mise en place de nombreux process, dont la nécessité de nommer un Délégué à la Protection des Données (DPO). Cette nomination est obligatoire pour :

Les organismes publics,
Les entreprises dont l’activité de base amène à :
- effectuer à grande échelle un suivi régulier et systématique des personnes ;
- traiter des données personnelles dites sensibles ou relatives à des condamnations pénales ou infractions.

Le respect du RGPD permet de sécuriser efficacement les données à caractère personnel et de prévenir les fuites de données, de renforcer son niveau de cybersécurité et surtout de déployer un process d’amélioration continue.

Être conforme au RGPD garantit un niveau de protection optimal des données personnelles, et contribue à instaurer un cadre de confiance, en rassurant les collaborateurs, les usagers et/ou clients sur la gestion et le traitement de leurs données à caractère personnel.

RGPD, pour qui ?

Sont concernés par le RGPD tous les organismes publics et privés qui collectent et traitent des données personnelles en Europe (petites et moyennes industries, PME, ETI, collectivités, sites internet et e-commerce, cliniques et établissements de santé, sous-traitants…). Le RGPD définit les règles et obligations des responsables de traitement des données personnelles, les droits et les pénalités applicables.

Les principaux acteurs du RGPD sont :

Le DPO / DPD (Data Protection Officer / Délégué à la Protection des Données) : chef d’orchestre de la gouvernance des données personnelles, pilote de votre mise en conformité et interlocuteur de la CNIL (attention pour des raisons de conflit d’intérêt, le DPO ne peut pas être une personne de votre service informatique interne ou externe ou le dirigeant).
Le Responsable de traitement : personne physique, morale, autorité publique, service ou tout autre organisme, qui détermine les finalités et les moyens du traitement de données à caractère personnel (membre de la direction générale, DSI, DRH…).
Le Co-responsable de traitement : personne physique, morale, autorité publique, service ou tout autre organisme, qui détermine conjointement les finalités et les moyens du traitement de données à caractère personnel.
Le Sous-traitant : toute personne physique, morale, l’autorité publique, le service ou un autre organisme, qui traite des données à caractère personnel pour le compte du responsable de traitement.
La Personne concernée : personne physique dont les données à caractère personnel sont traitées.

Les obligations du RGPD

Vous pouvez collecter et traiter des données à caractère personnel, à condition d’observer les règles imposées par le RGPD. Vous devez notamment :

Être capable de prouver votre conformité (accountability, cartographie des traitements de données, registres de traitement, PIA…),
Prendre les mesures techniques et organisationnelles de protection des données à caractère personnel requises par le RGPD,
Respecter les principes du RGPD,
Gérer les demandes d’exercice de droits des personnes concernées,
Déterminer les responsabilités des acteurs,
Pouvoir gérer une violation de données,
Assurer la sécurité de vos systèmes d’information…

Les droits des personnes

Les personnes physiques sont de plus en plus sensibles à l’utilisation de leurs données à caractère personnel. Le RGPD a renforcé leurs droits, en leur reconnaissant clairement :

Un droit d’information clair et simple sur le traitement des données ;
Un droit d’information en cas de violation de ses données personnelles ;
Un droit de rectification de ses données personnelles ;
Un droit à l’oubli permettant de supprimer les données ;
Un droit à la limitation du traitement ;
Un droit à la portabilité des données (notamment en cas de changement de fournisseur) ;
Un droit d’opposition (encadrement du profilage) ;
Un droit de retrait de son consentement ;
Des dispositions propres aux personnes mineures.
…

Les sanctions en cas de non-conformité RGPD

Organe de contrôle national et garante de la protection des données personnelles, la CNIL est le juge de la conformité. Toute violation de données personnelles représentant un risque pour les droits et libertés des personnes doit lui être notifiée par le responsable du traitement dans les 72 heures. Passé ce délai légal, l’entreprise devra transmettre à la CNIL une argumentation détaillée justifiant du non-respect de la procédure. Si la Loi Informatique et Libertés prévoyait déjà des sanctions administratives et pénales, le RGPD les a renforcées. En cas de non-respect du RGPD, des amendes peuvent être émises, pouvant atteindre jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires annuel.

Les étapes de la mise en conformité RGPD

La mise en conformité RGPD nécessite d’établir un état des lieux détaillé des traitements de données au sein de l’entreprise et s’assurer que les données personnelles ne sont accessibles qu’aux personnes disposant des droits appropriés. Une fois l’audit RGPD réalisé, il est nécessaire de définir un plan d’action adapté et de mettre en place le processus de mise en conformité.

La mise en conformité avec le RGPD nécessite plusieurs étapes :

Réaliser un audit
Prioriser et mettre en place les mesures de protection
Maintenir et prouver la mise en conformité au RGPD (accountability)

Le DPO – Le Délégué à la Protection des Données

Régis par un code de déontologie, les Délégués à la Protection des Données garantissent la confidentialité, la qualité et l’intégrité de leurs démarches et de leurs conseils. Impliqués et respectueux de la réglementation en vigueur, les DPO sont les gardiens d’une mise en conformité optimale. Ils créent de la valeur en permettant aux organismes d’atteindre leurs objectifs stratégiques. L’éventail des missions et attributions des DPO est large :

AUDITER ET INFORMER

– Réalisation de l’état des lieux des données personnelles collectées et traitées

– Sensibilisation des équipes et diffusion culture de la protection des données

– Information et communication auprès des clients, fournisseurs, sous-traitants, partenaires

CONSEILLER ET CONTROLER LE RESPECT DU RGPD

– Assistance du responsable de traitement dans l’analyse de l’impact sur la protection des données

– Construction de traitements de données respectueux de la vie privée et garantie de la conformité au RGPD

– Définition des actions correctives à mettre en place et vérification de la bonne exécution

– Mise en place opérationnelle du plan d’action

– Pilotage en continu de la conformité et de la bonne application du RGPD

– Formation d’un référent interne

– Rédaction d’un rapport annuel pour le bilan de la mission DPO externe

GERER LA DOCUMENTATION INTERNE

– Constitution des registres (traitements, sous-traitants…)

– Mise en place des procédures (violations de données, gestion des demandes, contrôles de la CNIL…)

– Définition de la politique de protection des données de l’entreprise

COOPERER AVEC LA CNIL

– Interlocuteur privilégié avec la CNIL

– Contact de référence pour les tiers dont les données sont collectées (réclamations, notifications et demandes)

– Veille permanente sur les nouvelles obligations légales sur la protection des données

Retrouvez l’intégralité du règlement RGPD sur le site de la CNIL : cnil.fr

Besoin d’en savoir plus ?

Consultez notre blog !

Lexique RGPD

Accountability : définit l’obligation pour les organismes de mettre en œuvre des mécanismes et des procédures démontrant le respect des règles relatives à la protection des données.
AFCDP : l’Association Française des Correspondants à la protection des Données à caractère Personnel est une association loi 1901, créée en 2004. Elle se concentre sur le métier de Délégué à la Protection des Données (DPO) dans le cadre du RGPD.
Autorité de contrôle : autorité publique indépendante instituée par un État membre en vertu de l’article 51 (par exemple, la CNIL).
Certification Veritas : certification officielle qui valide les compétences du DPO, suivant les Délibérations n° 2018-317 et n° 2018-318 du 20 septembre 2018 de la CNIL. Cette certification est octroyée par le Bureau Veritas, qui dispose de l’agrément de la CNIL..
CNIL : Commission Nationale de l’Informatique et des Libertés. Autorité administrative indépendante, chargée de protéger la sécurité informatique des citoyens sans porter atteinte à l’identité humaine, aux droits de l’homme, à la vie privée, aux libertés individuelles ou publiques.
Consentement : accord libre, spécifique, éclairé et univoque par lequel la personne concernée accepte, par une déclaration ou par un acte positif clair, que les données personnelles la concernant fassent l’objet d’un traitement.
Donnée personnelle : une donnée personnelle est une information susceptible d’identifier directement ou indirectement une personne physique. Il peut donc s’agir du nom, prénom, de l’adresse postale ou électronique ou encore du numéro de sécurité sociale. Mais cela peut aussi être le numéro de carte de paiement, la plaque d’immatriculation du véhicule, l’historique de navigation web ou même les données de géolocalisation. Leur divulgation ou leur mauvaise utilisation pourrait porter atteinte aux droits et libertés des personnes ou à leur vie privée.
DPO : désigné par les organismes, le Délégué à la Protection des Données (DPO) conseille et accompagne de manière indépendante le responsable du traitement dans la mise en conformité RGPD. Il veille au respect du RGPD dans l’entreprise. Dans le cadre de ses missions, il doit tenir compte en particulier des risques associés aux opérations de traitement, au vu des données et de la manière dont elles sont traitées.
Loi Informatique et Libertés de 1978 : loi française qui réglemente la liberté de traitement des données personnelles. Elle concerne l’ensemble des traitements automatisés de données personnelles et s’applique à tous les secteurs qui ont recours à ces données dans le cadre de leurs activités.
Mise en conformité RGPD : mise en place d’actions permettant de s’assurer du respect du RGPD par sa structure à partir du moment où celle-ci traite des données personnelles. La mise en conformité au RGPD passe par plusieurs étapes clés : un audit de vos bases de données et autres traitements de données, un audit technique des bases de données, traitements et autres points de collectes de données, et la mise en place opérationnelle avec l’ensemble de la mise en conformité technique.
PIA : le Privacy Impact Assessment (Etude d’Impact sur la Vie Privée) est un outil essentiel pour construire des traitements de données respectueuses de la vie privée, mais aussi démontrer leur conformité au RGPD. Elle est obligatoire pour les traitements susceptibles d’entraîner des risques élevés.
RGPD : Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données).
Traitement : toute opération appliquée à des données personnelles (collecte, enregistrement, structuration, conservation, modification, extraction, utilisation, diffusion, effacement, destruction…).
Violation de données à caractère personnel : une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données personnelles transmises.