Le RGPD, pourquoi, comment…


Le RGPD (Règlement Général sur la Protection des Données ) est une réglementation européenne qui entre en application à partir du 25 mai 2018 visant à renforcer la protections des données personnelles.

 

QUE VA CHANGER LE RGPD ?

 

Le Règlement européen sur la protection des données (RGPD) entre en vigueur le 25 mai 2018 et son application sera uniforme pour l’ensemble des États membres de l’Union européenne.

 

Il est d’application directe et prévaudra sur la législation nationale en cas de contradiction, notamment la loi 78-17 du 6 janvier 1978 modifiée.

Il confirme les principes issus de la Directive n°95/46 du 24 octobre 1995:

⇒ Licéité, loyauté et transparence de tout traitement

⇒ Détermination de la finalité du traitement, laquelle doit être légitime, adéquate et pertinente

⇒ Limitation de la durée de conservation

Sécurisation des données

 

En substance, ses grands principes sont les suivants :

 

⇒ Il s’appuie sur une articulation de moyens juridiques et technologiques, en vue de la prévention du risque : logique de responsabilité (accountability) versus logique de formalités préalables

⇒ Est retenue une approche «Privacy by design» supposant que le respect de la vie privée est désormais au cœur de tout développement technique, les données personnelles devant être sécurisées et restées confidentielles.

Toute entreprise collectant des données permettant d’identifier une personne (mail, image, date de naissance, adresse IP, nom, prénom, etc.), y compris dans son activité professionnelle, est concernée car sa responsabilité sera renforcée.

 

CONCRÈTEMENT CE QUE CELA SIGNIFIE

 

Aucune formalité préalable de déclaration des traitements de données personnelles auprès de la CNIL (sauf cas particulier: traitement engendrant un risque élevé pour les droits des personnes physiques)

⇒ L’obligation de réduire les données collectées à celles qui sont strictement nécessaires pour l’activité de l’entreprise(Privacy by Default)

⇒ Le renforcement des droits des personnes dont les données personnelles sont collectées avec l’exigence quasi systématique d’une forme de consentement exprès à toute collecte (portabilité et droit à l’effacement)

⇒ La mise en place d’un Data Protection Officer dans certains cas

⇒ L’obligation de réaliser des études d’impacts dans certains cas

⇒ La vérification des engagements de vos sous-traitants dont la responsabilité est renforcée et l’obligation de conseil reconnue

⇒ L’obligation de notifier toute faille de sécurité sous 72H aux autorités de régulations, la notification devant indiquer la nature de la violation,ses conséquences et les mesures prises pour protéger les données

 

DES SANCTIONS PLUS LOURDES

 

⇒ Les contrôles des autorités seront renforcés et les sanctions encourues seront beaucoup plus lourdes que par le passé : 10 à 20 millions d’Euros ou 2 à 4% du C.A. annuel mondial total de l’exercice précédent.

 

LES ÉTAPES CLÉS SELON LA CNIL

 

La CNIL recommande 6 étapes pour se mettre en conformité d’ici le 25 mai 2018, étapes sur lesquelles nous sommes à même de vous assister :

  1. Désigner un pilote
  2. Réaliser une cartographie des traitements de données personnelles
  3. Prioriser les actions à mener : Définir le plan d’actions au regard des risques identifiés
  4. Gérer les risques :
    • ⇒ Définir des processus internes
    • ⇒ Revoir les clauses des contrats avec les sous-traitants
    • ⇒ Organiser les études d’impacts
  5. Organiser les processus internes
    • ⇒ Suivi et évolution d’un traitement
    • ⇒ Changement de sous-traitants
    • ⇒ Faille de sécurité
  6. Documenter la conformité et l’améliorer
    • ⇒ Rédiger ou réviser les documents de conformité et suivi (registre, charte informatique, etc)
    • ⇒ Mettre en place des outils de suivi (audits, études d’impacts)
    • ⇒ Sensibiliser les équipes et former le DPO