RGPD : Réglement général sur la protection des données

Le Parlement européen a adopté le 14 avril 2016 le texte législatif sur la protection des données à caractère personnel* pour l’ensemble des supports numériques (EU 2016/679 du 27 avril 2016).

Ce texte s’appliquera à partir du 25 mai 2018 dans tous les pays membres de l’Union Européenne.

OBJECTIFS

1 – PROTÉGER les droits fondamentaux des personnes physiques et en particulier leur droit à la protection des données à caractères personnel, tout en garantissant la libre circulation de ces données au sein de l’Union.

2 – RENFORCER le pouvoir des autorités européennes et harmoniser les lois nationales au sein du l’UE afin de faciliter les échanges intra et extra-communautaires. À ce titre, le RGPD s’applique à toutes les entreprises et organisations (membres de l’UE ou non) ayant des activités de traitement et/ou de manipulation de données à caractère personnel concernant directement les citoyens européens.

3 – RESPONSABILISER les entreprises (principe d’ « accountability* ») en introduisant la problématique de protection des données à caractère personnel à la source du projet d’entreprise. Jusqu’ici, les entreprises mettaient en œuvre le projet puis opéraient en fin de processus une mise en conformité avec le règlement (déclaration CNIL pour la France).

CHAMP D’APPLICATION

Le RGPD s’applique au traitement de données à caractère personnel automatisé en tout ou partie, ainsi qu’au traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier.

POINTS CLÉS

1 – Cadre juridique unifié

Mise en place de règles uniques valables pour tous les pays de l’UE.

2 – Consentement

Obligation de l’obtention du consentement explicite de la personne dont les données sont traitées.

3 – Privacy by design

Développement de produits et services qui intègrent intrinsèquement la protection des données.

4 – Transparence

Obligation de notifier l’autorité de supervision et les personnes concernées par la violation des données à caractère personnel dans les 72 heures.

5 – Désignation d’un DPO*

Obligation de désigner un Data Protection Officer pour les acteurs publics et certaines entreprises.

6 – De nouveaux droits pour les personnes

Création d’un droit à l’oubli numérique pour les personnes concernées et à la portabilité des données*.

SANCTION

En cas de non-respect des principes de la protection des données à caractère personnel l’entreprise s’expose à une amende pouvant aller jusqu’à 20 millions d’euros et 4% de son chiffre d’affaire mondial de l’année précédente.

DANS LES FAITS

Chaque entreprise doit mettre en place une méthodologie pour se conformer à la nouvelle réglementation :

1 – Désignation d’un DPO (cf ci-dessous)

2 – Cartographie des données personnelles traitées par l’entreprise

Attention, sont concernées non seulement les données clients mais également les données concernant le personnel, les fournisseurs, les partenaires, etc (hors personnes morales).

3 – Prioriser les actions

Il s’agit, le cas échéant, grâce à un registre de traitement des données, de déterminer les degrés d’urgence, notamment lorsque les données sont appelées à transiter hors de l’Union Européenne –vers un siège social par exemple.

4 – Gestion du risque

Il s’agit de mener une étude d’impact sur le traitement des données identifiées comme susceptibles de générer des risques pour le droit des personnes concernées.

5 – Organisation du processus interne

Il est primordial de sensibiliser les équipes et d’intégrer la problématique des données personnelles dès la conception des futurs outils de l’entreprise.

6 – Documentation de la conformité

L’entreprise doit conserver et être en mesure de produire tous les éléments montrant qu’elle a respecté les nouvelles obligations. Il s’agit notamment de l’étude d’impact, du registre des traitements, des clauses spécifiques intégrées aux différents contrats vis-à-vis des personnes et prestataires, etc.

LE DÉLÉGUÉ À LA PROTECTION DES DONNÉES (DPO)

La nomination d’un DPO est obligatoire dans 3 cas :

  • Pour les autorités ou les organismes publics ;
  • Pour les organismes dont les activités de base les amènent à réaliser un suivi régulier et systématique des personnes à grande échelle ;
  • Pour les organismes dont les activités de base les amènent à traiter à grande échelle des données dites « sensibles » ou relatives à des condamnations pénales et infractions.

Dans tous les cas, la désignation d’un DPO est encouragée par les membres du G29*.

Les organismes peuvent désigner un délégué interne ou externe à leur structure.

Le DPO peut par ailleurs être mutualisé, c’est-à-dire désigné pour plusieurs organismes, sous certaines conditions. Par exemple, lorsqu’un délégué est désigné pour un groupe d’entreprises, il doit être facilement joignable à partir de chaque lieu d’établissement. Il doit en effet être en mesure de communiquer efficacement avec les personnes concernées et de coopérer avec l’autorité de contrôle.

Télécharger la fiche CNIL sur le RGPD

LA FH DISPOSE DE DOCUMENTS POUR ACCOMPAGNER SES ADHÉRENTS DANS LA MISE EN ŒUVRE DU RGPD POUR LES OBTENIR OU POUR TOUTE PRÉCISION, VEUILLEZ NOUS CONTACTER.

*GLOSSAIRE

Accountability : Obligation pour les entreprises de mettre en œuvre des mécanismes et des procédures internes permettant de démontrer le respect des règles relatives à la protection des données à tout moment.

Donnée à caractère personnel : Toute information relative à une personne physique identifiée ou identifiable, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres.

DPO : Data Protection Officer

DSI : Directeur des Systèmes d’Information

G29 : Cette organisation est un groupe de travail qui réunit l’ensemble des représentants de chaque autorité indépendante de protection des données nationales. Elle a pour mission de contribuer à l’élaboration des normes européennes, de rendre des avis sur le niveau de protection dans les pays hors UE et de conseiller la Commission européenne sur tout projet ayant une incidence sur la protection des données et des libertés des personnes.

La portabilité des données permet aux consommateurs de récupérer les données qui résultent de leur usage d’un service (e-mails, photos personnelles, historique de navigation ou d’achat, contacts, playlists, etc) pour pouvoir les transférer auprès d’autres prestataires lorsqu’ils en changent. Avec la portabilité, l’utilisateur n’est plus enfermé dans un écosystème donné. Il bénéficie d’une mobilité numérique accrue et possède une réelle maîtrise sur ses données.

RSSI : Responsable Sécurité des Systèmes d’Informations

Shadow IT : Se dit des matériels ou logiciels qui, dans une entreprise, ne sont pas pris en charge par le service informatique central. Les technologies « invisibles » du Shadow IT les plus répandues chez les utilisateurs sont les smartphones, les clés USB, les tablettes et côté applications : la messagerie (souvent Gmail), les services de messagerie instantanée, les services FSS (partage et synchronisation de données) gratuits comme DropBox, Skype, etc.