PROTÉGER LES DONNÉES
À LEURS JUSTES VALEURS
CONTACTEZ-NOUS

Le RGPD

Le RGPD en quelques mots

 

Le RGPD est une réglementation européenne, appliquée aux entreprises, collectivités, associations et institutions publiques depuis 2018. Il a pour objectif d’encadrer la récolte et le traitement des données. Le but de cette démarche est également de protéger les utilisateurs contre une utilisation abusive de leurs données. Il prévoit notamment une récolte de données limitée. Les entreprises doivent justifier de l’utilité des données récoltées pour leur fonctionnement. D’autres mesures comme le droit à l’oubli ou à la consultation sont des avancées majeures dans ce domaine qui n’était que très peu réglementée auparavant. Face à cette nouvelle réglementation les organisations doivent se mettre en conformité sous peine de sanctions lourdes de la part de la CNIL qui veille à sa bonne application sur les marchés publics et privés. Notre rôle est de vous accompagner dans cette démarche.


 

La réglementation RGPD, c’est quoi ?

En application depuis le 25 mai 2018, le Règlement Général Européen de Protection des Données (RGPD) s’applique uniformément à tous les Etats membres de l’Union Européenne, dont la France, et leur confère un niveau équivalent de protection des données personnelles. Le RGPD s’inscrit dans la continuité de la Loi Informatique et Libertés de 1978 (principe de finalité, pertinence et proportionnalité, durée limitée, sécurité et confidentialité, respect du droit des personnes), en renforçant les exigences ayant trait à la collecte et au traitement des données personnelles.   L’article 5 du RGPD précise les principes phares : licéité, loyauté et transparence, limitation des finalités, minimisation des données, conservation limitée des données, exactitude des données et sécurité des données. Certaines dénominations ont été modifiées mais ces principes ne sont pas totalement inconnus aux responsables de traitements.   Le RGPD implique la mise en place de nombreux process, dont la nécessité de nommer un Délégué à la Protection des Données (DPO). Cette nomination est obligatoire pour :

  • Les organismes publics,
  • Les entreprises dont l’activité de base amène à :
    • effectuer à grande échelle un suivi régulier et systématique des personnes ;
    • traiter des données personnelles dites sensibles ou relatives à des condamnations pénales ou infractions.

Le respect du RGPD permet de sécuriser efficacement les données à caractère personnel et de prévenir les fuites de données, de renforcer son niveau de cybersécurité et surtout de déployer un process d’amélioration continue.   Être conforme au RGPD garantit un niveau de protection optimal des données personnelles, et contribue à instaurer un cadre de confiance, en rassurant les collaborateurs, les usagers et/ou clients sur la gestion et le traitement de leurs données à caractère personnel.

RGPD, pour qui ?

Sont concernés par le RGPD tous les organismes publics et privés qui collectent et traitent des données personnelles en Europe (petites et moyennes industries, PME, ETI, collectivités, sites internet et e-commerce, cliniques et établissements de santé, sous-traitants…). Le RGPD définit les règles et obligations des responsables de traitement des données personnelles, les droits et les pénalités applicables.   Les principaux acteurs du RGPD sont :

  • Le DPO / DPD (Data Protection Officer / Délégué à la Protection des Données) : chef d’orchestre de la gouvernance des données personnelles, pilote de votre mise en conformité et interlocuteur de la CNIL (attention pour des raisons de conflit d’intérêt, le DPO ne peut pas être une personne de votre service informatique interne ou externe ou le dirigeant).
  • Le Responsable de traitement : personne physique, morale, autorité publique, service ou tout autre organisme, qui détermine les finalités et les moyens du traitement de données à caractère personnel (membre de la direction générale, DSI, DRH…).
  • Le Co-responsable de traitement : personne physique, morale, autorité publique, service ou tout autre organisme, qui détermine conjointement les finalités et les moyens du traitement de données à caractère personnel.
  • Le Sous-traitant : toute personne physique, morale, l’autorité publique, le service ou un autre organisme, qui traite des données à caractère personnel pour le compte du responsable de traitement.
  • La Personne concernée : personne physique dont les données à caractère personnel sont traitées.

Les obligations du RGPD

Vous pouvez collecter et traiter des données à caractère personnel, à condition d’observer les règles imposées par le RGPD. Vous devez notamment :

  • Être capable de prouver votre conformité (accountability, cartographie des traitements de données, registres de traitement, PIA…),
  • Prendre les mesures techniques et organisationnelles de protection des données à caractère personnel requises par le RGPD,
  • Respecter les principes du RGPD,
  • Gérer les demandes d’exercice de droits des personnes concernées,
  • Déterminer les responsabilités des acteurs,
  • Pouvoir gérer une violation de données,
  • Assurer la sécurité de vos systèmes d’information…

Les droits des personnes

 

Les personnes physiques sont de plus en plus sensibles à l’utilisation de leurs données à caractère personnel. Le RGPD a renforcé leurs droits, en leur reconnaissant clairement :

  • Un droit d’information clair et simple sur le traitement des données ;
  • Un droit d’information en cas de violation de ses données personnelles ;
  • Un droit de rectification de ses données personnelles ;
  • Un droit à l’oubli permettant de supprimer les données ;
  • Un droit à la limitation du traitement ;
  • Un droit à la portabilité des données (notamment en cas de changement de fournisseur) ;
  • Un droit d’opposition (encadrement du profilage) ;
  • Un droit de retrait de son consentement ;
  • Des dispositions propres aux personnes mineures.

Les sanctions en cas de non-conformité RGPD

 

Organe de contrôle national et garante de la protection des données personnelles, la CNIL est le juge de la conformité. Toute violation de données personnelles représentant un risque pour les droits et libertés des personnes doit lui être notifiée par le responsable du traitement dans les 72 heures. Passé ce délai légal, l’entreprise devra transmettre à la CNIL une argumentation détaillée justifiant du non-respect de la procédure. Si la Loi Informatique et Libertés prévoyait déjà des sanctions administratives et pénales, le RGPD les a renforcées. En cas de non-respect du RGPD, des amendes peuvent être émises, pouvant atteindre jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires annuel.

Les étapes de la mise en conformité RGPD

La mise en conformité RGPD nécessite d’établir un état des lieux détaillé des traitements de données au sein de l’entreprise et s’assurer que les données personnelles ne sont accessibles qu’aux personnes disposant des droits appropriés. Une fois l’audit RGPD réalisé, il est nécessaire de définir un plan d’action adapté et de mettre en place le processus de mise en conformité. La mise en conformité avec le RGPD nécessite plusieurs étapes :

  • Réaliser un audit
  • Prioriser et mettre en place les mesures de protection
  • Maintenir et prouver la mise en conformité au RGPD (accountability)

Le DPO – Le Délégué à la Protection des Données

Régis par un code de déontologie, les Délégués à la Protection des Données garantissent la confidentialité, la qualité et l’intégrité de leurs démarches et de leurs conseils. Impliqués et respectueux de la réglementation en vigueur, les DPO sont les gardiens d’une mise en conformité optimale. Ils créent de la valeur en permettant aux organismes d’atteindre leurs objectifs stratégiques. L’éventail des missions et attributions des DPO est large :

AUDITER ET INFORMER
– Réalisation de l’état des lieux des données personnelles collectées et traitées – Sensibilisation des équipes et diffusion culture de la protection des données – Information et communication auprès des clients, fournisseurs, sous-traitants, partenaires
CONSEILLER ET CONTROLER LE RESPECT DU RGPD
– Assistance du responsable de traitement dans l’analyse de l’impact sur la protection des données – Construction de traitements de données respectueux de la vie privée et garantie de la conformité au RGPD – Définition des actions correctives à mettre en place et vérification de la bonne exécution – Mise en place opérationnelle du plan d’action – Pilotage en continu de la conformité et de la bonne application du RGPD – Formation d’un référent interne – Rédaction d’un rapport annuel pour le bilan de la mission DPO externe
GERER LA DOCUMENTATION INTERNE
– Constitution des registres (traitements, sous-traitants…) – Mise en place des procédures (violations de données, gestion des demandes, contrôles de la CNIL…) – Définition de la politique de protection des données de l’entreprise
COOPERER AVEC LA CNIL
– Interlocuteur privilégié avec la CNIL – Contact de référence pour les tiers dont les données sont collectées (réclamations, notifications et demandes) – Veille permanente sur les nouvelles obligations légales sur la protection des données

Retrouvez l’intégralité du règlement RGPD sur le site de la CNIL : cnil.fr

Besoin d’en savoir plus ?

 

Lexique RGPD

 

  • Accountability : définit l’obligation pour les organismes de mettre en œuvre des mécanismes et des procédures démontrant le respect des règles relatives à la protection des données.
  • AFCDP : l’Association Française des Correspondants à la protection des Données à caractère Personnel est une association loi 1901, créée en 2004. Elle se concentre sur le métier de Délégué à la Protection des Données (DPO) dans le cadre du RGPD.
  • Autorité de contrôle : autorité publique indépendante instituée par un État membre en vertu de l’article 51 (par exemple, la CNIL).
  • Base Légale: élément autorisant légalement la mise en oeuvre d’un traitement de données à caractère personnel (aussi appelée « fondement juridique » ou « base juridique »). 6 bases légales:consentement, contrat, obligation légale, sauvegarde des intérêts vitaux, intérêt public,intérêts légitimes.
  • BCR « Bording Corporate Rules: en français « règles d’entreprises contraignantes »,règles internes mises en place au sein d’un groupe d’entreprises pour sécuriser les transferts de données à caractère personnel d’une entreprise (membre du groupe d’entreprises) basé sur le territoire de l’union européenne vers une autre entreprise (membre du groupe) basée dans un pays tiers.
  • Biométrie : ensemble des techniques informatiques permettant re reconnaître automatiquement un individu à partir de ses caractéristiques physiques, biologique, voire comportementales. Exemple de caractéristiques : images faciales, ADN, contour de la main, données dactyloscopiques (empreintes digitales…)
  • BYOD « Bring Your Own Device » : pratique qui consiste à utiliser ses équipements personnels dans un contexte professionnel. Exemple de BYOD : téléphone portable, ordinateur, tablette.
  • Certification Veritas : certification officielle qui valide les compétences du DPO, suivant les Délibérations n° 2018-317 et n° 2018-318 du 20 septembre 2018 de la CNIL. Cette certification est octroyée par le Bureau Veritas, qui dispose de l’agrément de la CNIL..
  • CCT « Clause Contractuelles Types » : modèles de contrats sécurisant les transferts de données à caractère personnel entre une entité basée dans un Etat membre de l’Union Européenne et une entité basée dans un pays tiers.
  • CNIL : Commission Nationale de l’Informatique et des Libertés. Autorité administrative indépendante, chargée de protéger la sécurité informatique des citoyens sans porter atteinte à l’identité humaine, aux droits de l’homme, à la vie privée, aux libertés individuelles ou publiques.
  • Commission européenne : branche exécutive de l’Union européenne politiquement indépendante, chargée d’élaborer des propositions législatives et de mettre en œuvre les décisions du parlement européen et du conseil  de l’union européenne.
  • CEPD « Comité européen de la protection des données » : organe de l’union européenne indépendant institué par le RGPD, constitué des chefs autorités de contrôle de chaque État membre et du Contrôleur européen de la protection des données ( ou leurs représentants. Il est successeur du G29).
  • Consentement : accord libre, spécifique, éclairé et univoque par lequel la personne concernée accepte, par une déclaration ou par un acte positif clair, que les données personnelles la concernant fassent l’objet d’un traitement.
  • Cybersécurité : ensemble des outils et processus de sécurité utilisés et mis en place pour assurer la sécurité des systèmes d’information et des données informatiques (pouvant contenir des données à caractère personnel).
  • Destinataire : tout organisme qui reçoit communication de données à carcatère personnel, qu’il s’agisse ou non d’un tiers. Exception : les autorités publiques suscptibles de recevoir communication de données à caractère personnel dans le cadre d’une mission d’enquête particulière ne sont pas considérées comme des destinataires.
  • Donnée à caractère personnel : une donnée personnelle est une information susceptible d’identifier directement ou indirectement une personne physique. Leur divulgation ou leur mauvaise utilisation pourrait porter atteinte aux droits et libertés des personnes ou à leur vie privée. Exemples : nom, prénom, l’adresse postale ou électronique, numéro de sécurité sociale. Mais cela peut aussi être le numéro de carte de paiement, la plaque d’immatriculation du véhicule, l’historique de navigation web ou même les données de géolocalisation.
  • Données sensibles : données (dont le traitement est par principe interdit) : – révélant la prétendue origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale d’une personne physique; – génétiques, des données biométriques aux fins d’identifier une personne physique de manière unique ; – concernant la santé d’une personne physique ; – concernant le vie sexuelle ou l’orientation sexuelle d’une personne physique.
  • Données génétiques : données à caractère personnel relatives aux caractéristiques génétiques héréditaires ou acquises d’une personne physique qui donnent des informations uniques sur la psysiologie ou l’état de santé de cette personne physique et qui résultent, notamment, d’une analyse d’un échantillon biologique de la personne physique en question.
  • Données Biométriques : données à caractère personnel résultant d’un traitement technique spécifique, appelé biométrie.
  • Données de santé : données à caractère personnel relatives à la santé physique ou mentale d’une personne physique, (y compris la prestation de services de soins de santé, qui relèvent des informations sur l’état de santé de cette personne).
  • DPO : désigné par les organismes, le Délégué à la Protection des Données (DPO) conseille et accompagne de manière indépendante le responsable du traitement dans la mise en conformité RGPD. Il veille au respect du RGPD dans l’entreprise. Dans le cadre de ses missions, il doit tenir compte en particulier des risques associés aux opérations de traitement, au vu des données et de la manière dont elles sont traitées.
  • Fichier : ensemble structuré de données à caractère personnel accessible selon des critères déterminés. Cet ensemble peut-être centralisé, décentralisé ou reparti de manière fonctionnelle ou géographique.
  • Finalité : objectif principal d’un traitement de données à caractère personnel, devant être déterminé, explicite et légitime.
  • Géolocalisation : technologie se basant généralement sur le système GPS, permettant à son utilisteur de connaître précisément la localisation d’une personne ou d’un objet.
  • G29 : groupe de travail composé de l’ensemble des autorités de contrôles européennes (institué par l’article 29 de la directive du 24 Octobre 1995 sur la protection des données et la libre circulation de celles-ci), ayant rendue des avis et recommandations en matière de protection des données à caractère personnel. Il est aujourd’hui remplacé par le CEPD.
  • Loi Informatique et Libertés de 1978 : loi française qui réglemente la liberté de traitement des données personnelles. Elle concerne l’ensemble des traitements automatisés de données personnelles et s’applique à tous les secteurs qui ont recours à ces données dans le cadre de leurs activités.
  •  Minimisation : obligation pour le responsable de traitement de ne collecter que les données à caractère personnel pertinentes, adéquates et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées.
  • Mise en conformité RGPD : mise en place d’actions permettant de s’assurer du respect du RGPD par sa structure à partir du moment où celle-ci traite des données personnelles. La mise en conformité au RGPD passe par plusieurs étapes clés : un audit de vos bases de données et autres traitements de données, un audit technique des bases de données, traitements et autres points de collectes de données, et la mise en place opérationnelle avec l’ensemble de la mise en conformité technique.
  • Personne Physique Identifiable : toute personne physique qui peut être identifée, directement ou indirectement, notamment par référence à un identifiant. Exemple d’éléments identifiants : un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.
  • PIA : le Privacy Impact Assessment (Etude d’Impact sur la Vie Privée) est un outil essentiel pour construire des traitements de données respectueuses de la vie privée, mais aussi démontrer leur conformité au RGPD. Elle est obligatoire pour les traitements susceptibles d’entraîner des risques élevés.
  • Privacy By Design : principe qui impose la protection des données à caractère personnel dès la conception d’un nouveau projet impliquant le traitement de ces données.
  • Profilage : toute forme de traitement automatisé de données à caractère personnel consistant à utiliser ces données pour évaluer ou prédire certains aspects personnels relatifs à une personne physique. Exemples d’aspects personnels pouvant être évalués : des éléments concernant le rendement au travail, la situation économique, la santé, les préférences personnelles, les intérêts, la fiabilité, le comportement, la localisation ou les déplacements de cette personne physique.
  • Pseudonymisation : action de sécurisation des données à caractère personnel sur leur traitement ayant pour conséquence l’impossibilité de relier les données à la personne concernée sans avoir recours à des informations supplémentaires. Condition de validité de cette action : ces informations supplémentaires doivent être conservées séparément et soumises à des mesures techniques et organisationnelles afin de garantir qu’aucun lien ne peut être fait entre les données à caractère personnel et la personne concernée.
  • Registre de traitements : registre permettant de recenser tous les traitements de données à caractère personnel réalisés par une entité, ainsi que toutes les informations s’y rapportant. Informations figurant dans le registre : nature du traitement, données concernées, personnes concernées, base légale, finalité, durée de conservation des données, réalisation de transferts hors Union européenne, mesures techniques et organisationnelles adoptées…
  • Responsable de traitement : la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement.
  • RGPD : Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données).
  • Sous-traitant : personne physique ou morale, autorité publique, service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement.
  • Systèmes d’information : ensemble organisé de ressources (matériel technologique, logiciels, personnel, procédures, données…) permettant de collecter, stocker, traiter et distribuer de l’information (pouvant contenir des données à caractère personnel), en général grâce à un réseau d’ordinateurs.
  • Tiers : personne physique ou morale, autorité publique, service ou organisme autre que la personne concernée, le responsable du traitement, le sous-traitant et les personnes autorisées à traiter les données à caractère personnel (car placées sous l’autorité directe du responsable du traitement ou du sous-traitant).
  • Traitement : toute opération appliquée à des données personnelles (collecte, enregistrement, structuration, conservation, modification, extraction, utilisation, diffusion, effacement,destruction…).
  • Traitement transfrontalier : traitement de données à caractère personnel dans le cadre des activités : – d’établissements dans plusieurs États membres de l’Union européenne lorsque le responsable du traitement ou le sous-traitant de ce traitement est établi dans plusieurs États membres ; OU – d’un établissement unique, qui affecte sensiblement ou est susceptible d’affecter sensiblement des personnes concernées dans plusieurs États membres.
  • Transfert de données : toute communication, copie ou déplacement de données à caractère personnel vers un pays tiers à l’Union européenne, pouvant dès lors nécessiter l’adoption de mesures de protection renforcées telles que des BCR ou CCT.
  • Vidéoprotection : dispositif de surveillance par camera permettant de filmer la voie publique et les lieux ouverts au public, soumis aux dispositions du Code de la sécurité intérieure.
  • Vidéosurveillance : dispositif de surveillance par camera permettant de filmer ls lieux non ouverts au public, soumis aux dispositions de la loi « Informatique et Libertés ».
  • Violation de données à caractère personnel : une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données personnelles transmises.