80 jours…. C’est le temps qu’il vous reste pour vous mettre en conformité avec le RGPD. Mais qu’est ce que le RGPD (ou GDPR) ?
C’est le Règlement Général sur la Protection des Données. En d’autres termes, c’est une nouvelle réglementation Européenne visant à renforcer la protection des données personnelles pour les résidents de l’UE. Ce règlement est entré en vigueur le 24 mai 2016 mais ne sera applicable qu’à partir du 25 mai 2018.
Pourquoi un tel règlement ?
Les objectifs de la mise en place d’un tel dispositif sont nombreux. Avec l’évolution actuelle de la technologie et des pratiques digitales, l’individu et ses données personnelles sont placés au coeur des préoccupations. Sont-ils assez protégés ?
Le RGPD a pour but d’encadrer la protection de ces données afin d’éviter toute utilisation frauduleuse de ces dernières par des entités malveillantes. Il offre aux individus un dispositif légal élargi avec par exemple la consolidation des obligations d’information ou bien encore, un nouveau droit à l’effacement des données.
Trois principaux objectifs ressortent de la mise en place de ce règlement.
Tout d’abord, comme évoqué précédemment, le RGPD renforce le droit des personnes. Actuellement, la loi informatique et liberté garantie à chaque citoyen européen le droit d’accès, de rectification et d’opposition à toutes informations le concernant, collectées par un tiers.
La mise en place du RGPD va élargir ces droits et lui permettre notamment d’agir sur les données récoltées. Les traces numériques laissées par chaque personne seront plus facilement contrôlables.
De plus, le RGPD permet d’uniformiser la réglementation en gommant toutes les différences pouvant exister entre les pays de l’Union Européenne. Cette loi étant, en effet, applicable à tous les pays de la même façon.
Enfin, ce règlement vise à responsabiliser chaque acteur mêlé de près ou de loin à la collecte d’informations personnelles. Le collecté doit être clairement informé quant à l’utilisation qui est faite de ses données, et le collecteur doit assurer au maximum la sécurité des données qu’il possède. Ici, les notions de responsabilisation ou accountability (obligation de rendre compte) sont mises en avant. L’entreprise à l’origine de la collecte doit être en capacité de prouver qu’elle a mis en place des actions visant à sécuriser les données collectées.
Qui est concerné par ce règlement ?
Pour savoir si votre organisation est concernée par le Règlement général sur la protection des données, il vous suffit de répondre à la question suivante : votre organisation traite t’elle les données personnelles de résidents de l’Union Européenne ?
Si oui, vous êtes concerné par le RGPD.
Il s’applique à toutes les entreprises, de tous les secteurs, quelque soit leur taille, qu’elle soit publique ou privée. Les organismes publics, les associations et également les sous traitants sont visés par ce règlement.
Qu’entend t-on par données personnelles ?
D’après l’article 4 du RGPD, une donnée à caractère personnelle s’applique à « toute information se rapportant à une personne physique identifiée ou identifiable; est réputée être une «personne physique identifiable» une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale. ».
On entend par données personnelles, par exemple :
- les données relatives aux clients ou prospects d’une entreprise,
- les informations concernant les salariés d’une société,
- les données présentes sur les ordinateurs ou smartphones telles que celles contenues sur les réseaux sociaux.
Certaines données sont plus sensibles que d’autres et vont demander un plus gros travail de sécurisation. On entend par données sensibles toute information concernant :
- l’origine raciale ou éthique
- Les opinions politiques, philosophiques ou religieuses
- La santé ou la vie sexuelle
- L’appartenance syndicale
Par où commencer pour être en conformité avec le règlement ?
Répondre aux normes du RGPD se fait en plusieurs étapes.
1. Tout d’abord il est important de désigner un DPO (Data Protection Officer = délégué à la protection des données). Il est en quelque sorte le chef d’orchestre des missions à mener pour être conforme au RGPD.
Ses principales missions vont être :
- comprendre et expliquer à l’entreprise et aux salariés le RGPD
- veiller au respect du RGPD
Il est également le principal point de contact de la CNIL.
Un DPO doit obligatoirement être désigné pour :
- les organismes publics
- les entités dont l’activité de base les conduit à la surveillance des personnes à grande échelle (ex : assurance, banque)
- les organismes qui traitent des données dites « sensibles »
Dans les autres cas, le DPO n’est pas obligatoire mais fortement conseillé. Ce dernier peut être externe à l’entreprise.
Pour en savoir plus sur le DPO, voici un article rédigé par le CNIL. https://www.cnil.fr/fr/devenir-delegue-la-protection-des-donnees
2. L’étape suivante est de faire le point sur les données personnelles dont vous disposez et que vous traitez. Pour cela, il est important de tenir un registre de traitement qui recense :
- les différents traitements que vous effectuez,
- les catégories de données dont vous disposez
- le but de ce traitement de données
- les acteurs qui traitent également ces données (sous traitants, prestataires, …)
- l’origine et la destination de ces données (sortent-elles de l’UE?)
Vous pouvez retrouver un exemple de registre ici.
3. Être conforme au RGPD nécessite la mise en place de plusieurs actions. De ce fait, il est important de planifier votre mise en conformité et de prioriser la réalisation de certaines tâches.
4. Il faut également mener une analyse d’impact pour chaque traitement effectué dans l’entreprise. Il s’agit ici, lorsqu’un traitement de données est lancé, de répertorier tous les risques qui peuvent subsister autour de ce dernier. Cette analyse doit être réalisée en amont et de manière régulière.
5. Un autre point important est le « Privacy by Design » . Il s’agit ici de constituer des bases de données qui regroupent le moins de données possibles. En d’autres termes, il ne faudra collecter et traiter que des données nécessaires à la finalité recherchée, et éliminer les autres. Ainsi, moins de données ont besoin d’être protégées.
6. Une étape phare pour être conforme au RGPD est la sensibilisation des collaborateurs. Pour cela, il est important de mettre au point un plan interne de formation visant à former les collaborateurs quant aux nouvelles obligations introduites par le RGPD.
7. Enfin, il vous faudra documenter votre conformité. En mai on ne vous demandera plus de déclaration, mais on vous demandera de prouver que vous êtes conforme au RGPD.
Le dossier de conformité devra comprendre :
- Le registre de traitements (point 2)
- L’analyse d’impact (point 4)
- Les mesures de sécurité prises dans l’entreprise
- La preuve de minimisation des données
- La base juridique du traitement, les modèles de recueil du consentement et preuves du consentement
- La base juridique du profilage
- Les mentions d’information
- Les contrats des sous-traitants visés
Pour plus d’informations, vous pouvez consulter l’article « RGPD : se préparer en 6 étapes » de la CNIL. https://www.cnil.fr/fr/principes-cles/rgpd-se-preparer-en-6-etapes
Et si je ne suis pas conforme au RGPD ?
Le non respect des normes fixées par le RGPD peut entrainer d’importantes sanctions. Ces dernières seront graduelles. Tout d’abord, un avertissement sera prononcé à l’encontre de l’entité n’étant pas conforme. Par la suite, une mise en demeure sera faite.
Si rien n’est fait, de fortes amendes administratives peuvent être prononcées par les autorités. De 10 à 20 millions d’euros selon la catégorie de l’infraction. Dans le cas d’une entreprise, l’amende peut s’élever de 2% à 4% du chiffre d’affaire annuel.
Vous pouvez retrouver toutes ces informations dans une vidéo : https://www.youtube.com/watch?time_continue=500&v=OUMGp3HHel4
Pour plus d’informations, rendez-vous sur le site de la CNIL : www.cnil.fr
Pour plus de renseignements, contactez-nous.
05.61.00.92.92
contact@pole-sud.com