
À LEURS JUSTES VALEURS


Le RGPD
Le RGPD en quelques mots
Le RGPD est une réglementation européenne, appliquée aux entreprises, collectivités, associations et institutions publiques depuis 2018. Il a pour objectif d’encadrer la récolte et le traitement des données. Le but de cette démarche est également de protéger les utilisateurs contre une utilisation abusive de leurs données. Il prévoit notamment une récolte de données limitée. Les entreprises doivent justifier de l’utilité des données récoltées pour leur fonctionnement. D’autres mesures comme le droit à l’oubli ou à la consultation sont des avancées majeures dans ce domaine qui n’était que très peu réglementée auparavant. Face à cette nouvelle réglementation les organisations doivent se mettre en conformité sous peine de sanctions lourdes de la part de la CNIL qui veille à sa bonne application sur les marchés publics et privés. Notre rôle est de vous accompagner dans cette démarche.
La réglementation RGPD, c’est quoi ?
En application depuis le 25 mai 2018, le Règlement Général Européen de Protection des Données (RGPD) s’applique uniformément à tous les Etats membres de l’Union Européenne, dont la France, et leur confère un niveau équivalent de protection des données personnelles. Le RGPD s’inscrit dans la continuité de la Loi Informatique et Libertés de 1978 (principe de finalité, pertinence et proportionnalité, durée limitée, sécurité et confidentialité, respect du droit des personnes), en renforçant les exigences ayant trait à la collecte et au traitement des données personnelles. L’article 5 du RGPD précise les principes phares : licéité, loyauté et transparence, limitation des finalités, minimisation des données, conservation limitée des données, exactitude des données et sécurité des données. Certaines dénominations ont été modifiées mais ces principes ne sont pas totalement inconnus aux responsables de traitements. Le RGPD implique la mise en place de nombreux process, dont la nécessité de nommer un Délégué à la Protection des Données (DPO). Cette nomination est obligatoire pour :
- Les organismes publics,
- Les entreprises dont l’activité de base amène à :
- effectuer à grande échelle un suivi régulier et systématique des personnes ;
- traiter des données personnelles dites sensibles ou relatives à des condamnations pénales ou infractions.
Le respect du RGPD permet de sécuriser efficacement les données à caractère personnel et de prévenir les fuites de données, de renforcer son niveau de cybersécurité et surtout de déployer un process d’amélioration continue. Être conforme au RGPD garantit un niveau de protection optimal des données personnelles, et contribue à instaurer un cadre de confiance, en rassurant les collaborateurs, les usagers et/ou clients sur la gestion et le traitement de leurs données à caractère personnel.
RGPD, pour qui ?
Sont concernés par le RGPD tous les organismes publics et privés qui collectent et traitent des données personnelles en Europe (petites et moyennes industries, PME, ETI, collectivités, sites internet et e-commerce, cliniques et établissements de santé, sous-traitants…). Le RGPD définit les règles et obligations des responsables de traitement des données personnelles, les droits et les pénalités applicables. Les principaux acteurs du RGPD sont :
- Le DPO / DPD (Data Protection Officer / Délégué à la Protection des Données) : chef d’orchestre de la gouvernance des données personnelles, pilote de votre mise en conformité et interlocuteur de la CNIL (attention pour des raisons de conflit d’intérêt, le DPO ne peut pas être une personne de votre service informatique interne ou externe ou le dirigeant).
- Le Responsable de traitement : personne physique, morale, autorité publique, service ou tout autre organisme, qui détermine les finalités et les moyens du traitement de données à caractère personnel (membre de la direction générale, DSI, DRH…).
- Le Co-responsable de traitement : personne physique, morale, autorité publique, service ou tout autre organisme, qui détermine conjointement les finalités et les moyens du traitement de données à caractère personnel.
- Le Sous-traitant : toute personne physique, morale, l’autorité publique, le service ou un autre organisme, qui traite des données à caractère personnel pour le compte du responsable de traitement.
- La Personne concernée : personne physique dont les données à caractère personnel sont traitées.
Les obligations du RGPD
Vous pouvez collecter et traiter des données à caractère personnel, à condition d’observer les règles imposées par le RGPD. Vous devez notamment :
- Être capable de prouver votre conformité (accountability, cartographie des traitements de données, registres de traitement, PIA…),
- Prendre les mesures techniques et organisationnelles de protection des données à caractère personnel requises par le RGPD,
- Respecter les principes du RGPD,
- Gérer les demandes d’exercice de droits des personnes concernées,
- Déterminer les responsabilités des acteurs,
- Pouvoir gérer une violation de données,
- Assurer la sécurité de vos systèmes d’information…
Les droits des personnes
Les personnes physiques sont de plus en plus sensibles à l’utilisation de leurs données à caractère personnel. Le RGPD a renforcé leurs droits, en leur reconnaissant clairement :
- Un droit d’information clair et simple sur le traitement des données ;
- Un droit d’information en cas de violation de ses données personnelles ;
- Un droit de rectification de ses données personnelles ;
- Un droit à l’oubli permettant de supprimer les données ;
- Un droit à la limitation du traitement ;
- Un droit à la portabilité des données (notamment en cas de changement de fournisseur) ;
- Un droit d’opposition (encadrement du profilage) ;
- Un droit de retrait de son consentement ;
- Des dispositions propres aux personnes mineures.
- …
Les sanctions en cas de non-conformité RGPD
Les étapes de la mise en conformité RGPD
La mise en conformité RGPD nécessite d’établir un état des lieux détaillé des traitements de données au sein de l’entreprise et s’assurer que les données personnelles ne sont accessibles qu’aux personnes disposant des droits appropriés. Une fois l’audit RGPD réalisé, il est nécessaire de définir un plan d’action adapté et de mettre en place le processus de mise en conformité. La mise en conformité avec le RGPD nécessite plusieurs étapes :
- Réaliser un audit
- Prioriser et mettre en place les mesures de protection
- Maintenir et prouver la mise en conformité au RGPD (accountability)
Le DPO – Le Délégué à la Protection des Données
Régis par un code de déontologie, les Délégués à la Protection des Données garantissent la confidentialité, la qualité et l’intégrité de leurs démarches et de leurs conseils. Impliqués et respectueux de la réglementation en vigueur, les DPO sont les gardiens d’une mise en conformité optimale. Ils créent de la valeur en permettant aux organismes d’atteindre leurs objectifs stratégiques. L’éventail des missions et attributions des DPO est large :
- AUDITER ET INFORMER
- – Réalisation de l’état des lieux des données personnelles collectées et traitées – Sensibilisation des équipes et diffusion culture de la protection des données – Information et communication auprès des clients, fournisseurs, sous-traitants, partenaires
- CONSEILLER ET CONTROLER LE RESPECT DU RGPD
- – Assistance du responsable de traitement dans l’analyse de l’impact sur la protection des données – Construction de traitements de données respectueux de la vie privée et garantie de la conformité au RGPD – Définition des actions correctives à mettre en place et vérification de la bonne exécution – Mise en place opérationnelle du plan d’action – Pilotage en continu de la conformité et de la bonne application du RGPD – Formation d’un référent interne – Rédaction d’un rapport annuel pour le bilan de la mission DPO externe
- GERER LA DOCUMENTATION INTERNE
- – Constitution des registres (traitements, sous-traitants…) – Mise en place des procédures (violations de données, gestion des demandes, contrôles de la CNIL…) – Définition de la politique de protection des données de l’entreprise
- COOPERER AVEC LA CNIL
- – Interlocuteur privilégié avec la CNIL – Contact de référence pour les tiers dont les données sont collectées (réclamations, notifications et demandes) – Veille permanente sur les nouvelles obligations légales sur la protection des données
Retrouvez l’intégralité du règlement RGPD sur le site de la CNIL : cnil.fr
Besoin d’en savoir plus ?
Lexique RGPD