Le Règlement Général sur la Protection des Données (RGPD)

Publié par Luc Martin

Règlement Général sur la Protection des Données

Le Règlement Général sur la Protection des Données (RGPD) est entré en vigueur le 25 mai 2018. Ce nouveau texte de référence pour la protection des données personnelles des résidents de l’Union Européenne a pour but de renforcer la protection des données à caractères personnelles et les droits des personnes concernées. Il s’applique à toutes les organisations (privées ou publiques) traitant des données personnelles des résidents européens quel que soit leur localisation.
Une donnée personnelle concerne « toute information se rapportant à une personne physique identifiée ou identifiable » (un nom, une rue, numéro client, N° de sécurité sociale…). (Article 4).
Nous retrouvons également la notion de données sensibles : « Information concernant l’origine raciale ou ethnique, les opinions politiques, philosophiques ou religieuses, l’appartenance syndicale, la santé ou la vie sexuelle » (CNIL).

Voici les principes majeurs du RGPD

(la présente liste n'est pas exhaustive) :

Consentement

Le consentement doit être libre, licite, sans ambiguïté et doit pouvoir être démontré. Il ne peut y avoir de consentement par défaut. Ainsi la pratique "opt-out" (case déjà pré-cocher) n'est pas valable pour prouver un consentement.

Traitement

Le traitement des données personnelles doit être fait à des fins licites et déterminées ou nécessaires pour une mission, l'exécution d’un contrat, le respect de l'obligation légale ou à des fins d’intérêts légitimes.

Droit de la personne

Tout individu impliqué par un traitement de ces données dispose d'un droit d'accès, de modification, de portabilité, d'opposition, de limitation ou encore de suppression de leurs données.

Sécurité des données

Les données doivent être sécurisées notamment par la mise en place de « mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque » (article 32).

Respecter cette nouvelle réglementation est une obligation légale mais il peut être perçu par les entreprises comme une opportunité de se questionner sur leur transformation numérique. Selon une étude menée par le CSA Research fin 2017, "85% des Français se disent préoccupés par la protection de leurs données personnelles en générale". Ainsi, sécuriser vos données permet de :

Renforcer la confiance auprès des parties prenantes / de vos clients
Améliorer l’image de votre entreprise
Se concentrer sur la sécurité au sein de votre entreprise

Voici les principales étapes pour que votre entreprise soit conforme à ce nouveau règlement :

1) Recensez et cartographier vos données personnelles

Recenser tous vos documents c’est-à-dire lister les différentes activités impliquant la collecte et le traitement des données (ressources humaines, gestion des clients, etc). Ensuite, pour chaque activité décrivez : l’objectif poursuivi, les types de données utilisées et leur degré de sensibilité, les personnes qui ont accès aux données et leur durée de conservation. Ainsi, ce registre vous permet d'avoir une vision complète de l'ensemble de vos données présentes dans votre entreprise.

2) Triez et organisez vos informations recensées

Faites le tri dans vos données pour être certain que celles-ci soient nécessaires à l’activité de votre entreprise. Assurez-vous également que seul les personnes habilitées ont accès aux fichiers. Ne gardez pas des fichiers plus longtemps que leur durée de conservation prévue par la loi.

3) Protégez vos données

Vous devez prendre toutes les mesures nécessaires en matière de sécurité : protéger votre réseau informatique, vos serveurs, vos postes de travail, vos locaux, utilisez des protocoles TLS, chiffrez vos données, adoptez des mots de passe conformes, etc. Des procédures en interne et/ou documentations peuvent être mises en place pour sensibiliser vos collaborateurs et également pour prouver toutes vos démarches de mise en conformité.

Dans certaines situations, votre entreprise peut être amenée à désigner un « Data Protection Officer » (PDO) également appelé « délégué à la protection des données ». Celui-ci est chargé d’accompagner et de conseiller les entreprises lors de leur mise en conformité. Il est obligatoire pour :
- Les organisations publiques
- Les entreprises opérant des traitements à « grandes échelles » et exigeant un « suivi régulier »
- Les entreprises traitant des données "sensibles".

A noter :

Le règlement concerne également les sous-traitants utilisant des données pour d’autres organismes. Ils doivent offrir « des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du présent règlement et garantisse la protection des droits de la personne concernée » (article 28 du règlement européen).
Les manquants à ce règlement peuvent engendrer des amendes à hauteur de 4% du chiffre d’affaires annuel ou 20 millions d’euros (la plus forte sanction financière est retenue).
En cas de violation des données (perte, vol ...) vous avez jusqu'à 72 heures, à partir de la constatation des faits, pour en informer la CNIL .

Attention : Méfiez-vous de ce que vous trouvez sur Internet. Certains acteurs en profitent en proposant des prestations excessivement chères et souvent peu efficaces. Si jamais vous avez un doute, n’hésitez pas à nous contacter. Vous retrouverez également toutes les informations concernant le RGPD sur le site de la CNIL.

Publié le 17-07-2018