Le RGPD | GDPR

Qu’est ce que le RGPD

Le règlement général sur la protection des données (RGPD, ou encore GDPR, de l’anglais General Data Protection Regulation) n°2016/679 est le règlement de l'Union européenne qui constitue le texte de référence européen en matière de protection des données à caractère personnel, pour les résidents de l’Union européenne.

Il va harmoniser la régulation des données à caractère personnel et ses dispositions sont directement applicables dans l'ensemble des 28 États membres de l'Union européenne depuis du 25 mai 2018.

Données personnelles: Toutes informations se rapportant à une personne physique identifié où identifiable. ( ex: Nom, prénom, permis de conduire, localisation, etc… )

    Le règlement s’applique lorsque:
  • done Une organisation traite des données personnelles.
  • done Un résident de l’Union européenne est directement visé par un traitement de données.

Ce règlement s’applique aussi bien sur un organisation établi sur le territoire de l’Union européenne ou hors Union européenne, quelque soit la taille, le secteur ou leurs caractères (publique ou privé). Qui met en oeuvre des traitements pour offrir des biens et des services aux résidents européen.

Les données sensibles

Les données qui révèle l’origine raciale ou ethnique, les opinions politiques, philosophiques ou religieuses ainsi que l’appartenance syndicale.

Il y’a aussi les données sur la santé ou l’orientation sexuelle, la génétiques, le biométrique et les infractions pénales.

Le grand changement du RGPD

Le responsable du traitement, c’est à dire l’entreprise qui contracte avec le sous-traitant n’est donc plus le seul responsable. Les deux pourront être sanctionnés.

    Les sous-traitants ont une responsabilité propre et sont tenu de respecter :
  • done L’obligation de conseils auprès du responsable de traitement (le client).
  • done L’aider à respecter règlement.
  • done L’obligation d’assurer la sécurité des données qui leur sont confiées.

La mise en conformité du RGPD

Voici un example d'une petite association qui souhaite créer son site internet et prévoit de collecter les données.

La protection de la vie privée est un principe énoncé de l’article 9 du code civil et même dans la charte des droits fondamentaux de l’Union européenne.

    Elle devra notamment :
  • done Rédiger les mentions d’information.
  • done Tenir un registre de traitement de données.
  • done Répondre aux sollicitations des clients sur leurs données.
  • done Prévoir les clauses de protection des données avec les sous-traitants.
  • done L’obligation d’assurer la sécurité des données qui leur sont confiées.

Le rôle du délégué à la protection des données

Le DPO (de l’anglais Data Protection Officer) est le chef d’orchestre de la conformité en matière de protection des données au sein de son organisation.

    Ces missions :
  • done Informer l’organisation et aussi ses employés.
  • done Veiller au respect du RGPD.
  • done Conseiller sur la réalisation de l’étude d’impact relative à la protection des données et d’en vérifier l’exécution.
  • done Être le point de contact de la CNIL.

Pour une petite structure il est possible de faire appel à un délégué externe partagé entre plusieurs organismes.

    Le DPO est obligatoire dans les cas suivants :
  • done Les organismes publics (ex: Mairie, Ministère).
  • done Les organismes avec des activités nécessitant la surveillance à grande échelle des personnes. (ex: Compagnie d’assurance, Banque, Entreprise de publicité cible sur internet).
  • done Le DPO n’est pas nécessaire pour une entreprise ne possédant pas de fichier client.
  • done Les organisations traitant des données dites sensibles (ex: Hôpital).
En savoir plus sur le DPO | délégué à la protection des données

Pour prouver sa conformité au RGPD le plus important est de mettre un certain nombre d’action et de prouver par une documentation que vous assurer la sécurité des données en continu. C’est ce que l’on appelle l’Accountability (Obligation de rendre compte), c’est de montrer comment les actions ont été menées et les rendre vérifiables.

Les Sanctions en cas de manquement

Les sanctions du RGPD peuvent aller jusqu’à 4% du chiffre d’affaire annuel mondial ou 20 millions €, c’est la somme la plus importante qui est retenue.

Il y’a donc une nécessité de prendre en compte les exigences car en cas de manquement et outre les avertissements public, les CNIL Européennes pourront prononcer des amendes administratives.

L’état ne peut pas recevoir de sanction financière contrairement aux collectivités territoriales mais par contre il peut être sanctionné avec des sanctions publiques.

Délais obligatoires et réglementaires de conservation des données

Dans le cadre du futur règlement, les organismes doivent tenir une documentation interne complète et notamment un registre sur leur traitement des données personnelles. Ce registre permet de s’assurer que différent traitement respecte bien les nouvelles obligations légales et notamment leur durée de conservation ce qui implique notamment de fixer des règles strictes pour déterminer les données qui doivent être supprimées une fois que leur objectif est atteint, et quelles données doivent être conservées à titre d’obligation légale. (ex: une facture doit être conservé 10 ans mais uniquement dans les archives intermédiaires. Les données existent toujours mais seront accessibles que par le comptable et le service contentieux de l’entreprise.

Le RGPD renforce la loi informatique et liberté qui date de 1978 qui fait l’object d’une nouvelle adaptation aux nouveaux système informatique.

Le RGPD n’est pas une préconisation de solution technique, c’est un cadre qui va devenir ce qui est attendu en terme de protection des données personnelles pour les résidents de l’union européenne et les organisations vont devoir s’y conformer. Il ne garanti pas d’être conforme à 100% c’est un travail en continu à différent niveau.