Le RGPD : ON FAIT LE POINT !

Le Règlement Général de Protection des Données est un règlement de l’Union Européenne du 27 avril 2016 entré en vigueur le 25 mai 2018 et visant à la protection des données personnelles. Si certaines entreprises n’ont pas attendu pour se mettre en conformité, d’autres n’ont pas encore pris le temps de s’y intéresser malgré le risque de sanctions en cas de non-respect des obligations qui en découlent.

Il est temps de faire le point !

connectivité données

Le RGPD…

  …quels objectifs ?

Trois objectifs majeurs :

  • L’uniformisation de la réglementation sur la protection des données au niveau européen tout en répondant à l’évolution du numérique, aux nouveaux usages et aux nouveaux modèles économiques.
  • La responsabilisation des entreprises par le développement de l’auto-contrôle.
  • Le renforcement du droit des personnes en ce qui concerne la gestion de leurs données personnelles via le droit à l’accès, le droit à l’oubli et le droit à la portabilité.

  …4 grands principes :

  1. Le consentement : les personnes concernées par la collecte et le traitement des données devront, au préalable, avoir donné leur consentement de manière explicite, c’est-à-dire écrit clairement, et positif, en utilisant un outil simple.
  2. La transparence : l’entreprise qui collecte les données devra fournir aux personnes des informations claires et sans ambiguïté sur la manière dont ces données seront traitées.
  3. La responsabilité : les entreprises qui collectent engagent leur responsabilité et doivent respecter un certain nombre d’obligations.
  4. Le droit des personnes : le règlement prévoit :
  • Un droit d’accès facilité pour toutes les personnes concernées
  • Un droit à l’oubli, par l’effacement des données sur simple demande
  • Un droit à la limitation du traitement
  • Un droit à la portabilité des données.

  …pour qui ?

D’une manière générale, le règlement s’applique à toute entité manipulant des données personnelles concernant des européens. Chacune doit se conformer au règlement, quelle que soit sa taille ou encore son secteur d’activité.

Plus précisément, le règlement s’adresse à toute entreprise ou toute association proposant des biens et/ou des services sur le marché de l’Union Européenne, collectant et traitant des données personnelles de personnes résidant au sein de l’UE, même s’il s’agit d’une entreprise non implantée au sein de l’Union.

Toutes les entreprises des 28 Etats membres de l’Union Européenne sont concernées, qu’il s’agisse d’entreprises privées ou d’entreprises publiques.

> Qu’appelle-t-on une « donnée à caractère personnel » ?

L’article 4 du RGPD en donne la définition suivante :

« toute information se rapportant à une personne physique identifiée ou identifiable (…) ; est réputée être une «personne physique identifiable» une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale ».

  … quelles obligations ?

Les entreprises/organismes/associations qui collectent et traitent des données personnelles doivent :

  1. Désigner un délégué à la protection des données qui devra informer, conseiller l’organisme, contrôler le respect du règlement et coopérer avec l’organisme de contrôle.
  2. Cartographier les flux de données, s’assurer que leur traitement respecte bien les nouvelles obligations légales. Pour chaque donnée, il faut recenser notamment sa catégorie, l’usage que l’on en fait et celui que l’on va en faire, qui participe à la collecte afin de s’assurer que chaque acteur est en conformité avec le règlement.
  3. Identifier et prioriser les actions à mener pour se conformer aux obligations.
  4. Analyser, anticiper et gérer les risques.
  5. Organiser les procédures internes à mettre en œuvre en cas de faille de sécurité, celles à mettre en place pour anticiper les violations de données ainsi que les procédures à mettre en œuvre pour traiter les réclamations et demandes
  6. Mettre en place les documents à présenter nécessairement en cas de contrôle et effectuer les mises à jour nécessaires en cas de modifications et d’évolutions et notamment le registre des traitements, et cela peu importe le support de stockage des données.

9 ETAPES CLÉS ESSENTIELLES POUR BIEN COMMENCER :

  1. Constituer un registre de traitement de données
  2. S’assurer que les sous-traitants sont en conformité avec le RGPD
  3. Mettre en conformité le site internet de l’entreprise par la mise en place d’une page politique de confidentialité, d’une demande d’acceptation des cookies et d’une mention sur le formulaire de contact et newsletter
  4. Faire le tri dans les données collectées et s’assurer de leur pertinence avec les objectifs
  5. Mettre en place les moyens nécessaires pour recueillir le consentement de la personne lors de la collecte et en garder la preuve sans limite de temps.
  6. Respecter les droits des personnes en les informant de l’usage qui sera fait de leurs données et leur donnant les moyens d’exercer leurs droits
  7. Sauvegarder et sécuriser les données
  8. En cas de violation ou de détérioration des données, avertir la CNIL dans les 72 heures.
  9. Prévoir l’export des données dans un format lisible et transportable

…quelles sanctions en cas de non-respect ?

Symbole attention

Les amendes encourues en cas d’infraction peuvent, en fonction du degré de gravité de celle-ci, aller jusqu’à 4 % du chiffre d’affaires total de l’entreprise.

Pour les entreprises qui ne se sont pas encore pencher sur la question, il est donc important de se mettre en conformité dès que possible !

POUR ALLER PLUS LOIN :