Se rendre au contenu

RGPD

Afin de vous accompagner dans l’application du Règlement Général pour la Protection des Données applicable depuis 25 mai 2018,

InfraPro met à votre disposition un dossier complet sur le RGPD qui reprend les points clés à connaître. 

Afin de vous accompagner dans l’application du Règlement Général pour la Protection des Données applicable depuis 25 mai 2018,

InfraPro met à votre disposition un dossier complet sur le RGPD qui reprend les points clés à connaître. 

Applicable depuis le 25 mai 2018, le RGPD (Règlement Général sur la Protection des Données) ou GDPR (General Data Protection Regulation) est une réglementation européenne relative à la protection des données à caractère personnel, qui remplace notamment la directive CE 95/46. Le règlement concerne aussi bien les données informatiques que le format papier.

L’objectif du RGPD est de proposer une réglementation unique pour tous les pays membres de l’Union Européenne, garantissant la protection des données à caractère personnel et adaptée à l’évolution des technologies. Ce qui permettra également de renforcer les droits des personnes et de responsabiliser les entités en matière de traitement des données.

Une donnée à caractère personnel correspond à « toute information se rapportant à une personne physique identifiée ou identifiable. » 

Est considérée comme « personne physique identifiable » une personne physique qui peut être identifiée directement ou indirectement par :

  • Un nom
  • Un numéro d’identification
  • Des données de localisation
  • Un identifiant en ligne
  • Un élément propre à l’identité physique, physiologique, génétique, psychique, économique, culturelle, sociale.

Dans le Règlement Général pour la Protection des Données, on distingue des catégories particulières qui sont appelées les données à caractère personnel « sensibles ». Ces données concernent :

  • L’origine raciale ou ethnique
  • Les opinions politiques
  • Les convictions religieuses ou philosophiques ou l’appartenance syndicale
  • Les données génétiques
  • Les données biométriques aux fins d’identifier une personne physique de manière unique
  • Les données concernant la santé
  • Les données concernant la vie sexuelle ou l’orientation sexuelle

Est considéré comme un traitement « toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel ».

Par exemple :

  • La collecte
  • L’enregistrement
  • L’organisation
  • La structuration
  • La conservation
  • L’adaptation ou la modification
  • L’extraction
  • La consultation…

Il peut s’agir de : la gestion du personnel et des rémunérations, des trombinoscopes et annuaires d’entreprise, la gestion des fournisseurs, la gestion de la comptabilité, la lutte contre la fraude…

Le RGPD concerne l’ensemble des entités basées en Europe (entreprises, organismes, autorités, …) qui traitent des données personnelles, ainsi que les fournisseurs extérieurs qui proposent des services en Europe.

Au sein de ces entités, l’ensemble des services traitant des données à caractère personnel sera concerné : service client / vente / marketing, service ressources humaines, service comptabilité, service juridique.

  1. La logique de responsabilisation : La structure doit prendre toutes les mesures nécessaires pour garantir la conformité de la gestion des données et surtout être capable de le démontrer à tout moment. Pour cela, un registre doit être tenu à jour répertoriant l’ensemble des traitements effectués sur les données.
  2. La coresponsabilité des sous-traitants : Les sous-traitants doivent s’engager contractuellement à mettre en œuvre les mesures de protection adaptées. Ils auront également comme obligation d’alerter le responsable du traitement en cas de fuite.
  3. La protection de la vie privée : Le responsable du traitement doit protéger la vie privée dès la conception d’un produit/service et par défaut au plus haut niveau. Pour cela il garantit par exemple qu’il gère exclusivement des informations nécessaires au but poursuivi. Le consentement explicite des personnes concernées par ces données est obligatoire dans certains cas.
  4. L’analyse de l’impact sur la vie privée : Pour tout traitement susceptible d’engendrer un risque pour les droits et libertés des personnes, une analyse des risques doit être réalisée.
  5. La désignation d’un DPO : Un DPO ("Data Protection Officer" ou délégué à la protection des données) doit être désigné pour les autorités et organismes publics, pour les entités dont l’activité de base génère des traitements exigeant un suivi régulier et systématique à grand échelle ainsi que les organisations dont l’activité de base consiste à traiter des données sensibles à grande échelle. Le DPO peut être interne à l’entreprise, mais aussi externalisé.
  6. Signalement à la CNIL : Pour toute violation de données à caractère personnel risquant d’engendrer un risque pour les droits et libertés d’une personne, un signalement doit être effectué auprès de la CNIL dans les 72h.
  7. Nouveaux droits des personnes : Dans le cadre du RGPD, les droits déjà existants sont renforcés par de nouveaux droits : droit d’information, droit à l’oubli et à la limitation des traitements ainsi que le droit à la portabilité des données.

Différentes étapes sont à respecter afin que votre entité soit conforme au règlement sur la protection des données à caractère personnel :

  • Désigner un référent pour piloter la conformité en matière de protection des données à caractère personnel.
  • Cartographie les traitements de données personnelles.
  • Renforcer ou bien mettre en place des mécanismes de protection des données personnelles en rapport avec les risques encourus.
  • Des documents : CGV, contrats, cookies…
  • Garantir la transparence des traitements et la portabilité des données.
  • Communiquer auprès de l’ensemble des acteurs concernés par l’entité afin de les sensibiliser sur le sujet.

En cas de manquement au règlement, l’entité peut s’acquitter d’une d’amende maximale de 4% du chiffre d’affaire mondial ou jusqu’à 20 millions d’euros. La somme la plus importante sera celle retenue.