Point sur

Règlement Général sur la Protection des Données (RGPD)

Fiche pratique

Le règlement n°2016/679 du 14 avril 2016, dit règlement général sur la protection des données (RGPD) constitue le nouveau texte de référence européen en matière de protection des données personnelles. ll remplace la directive adoptée en 1995 qui a donné lieu à des différences d'interprétation et renforce la protection des données pour les individus au sein de l'UE. Il est d’application directe sur tout le territoire de l’Union et entrera en vigueur le 25 mai 2018. Toutes les entreprises sont concernées dès lors qu’elles possèdent des fichiers contenant des données à caractère personnel de résidents européens quelle que soit leur nationalité.

Quel est l'objet du RGPD ?

Le RGPD vise à créer un cadre renforcé et harmonisé de la protection des données tenant compte des récentes évolutions technologiques (Big Data, cloud computing, objets connectés, Intelligence Artificielle, …) et des défis qui accompagnent ces évolutions. L’individu est placé au coeur du dispositif légal qui voit ainsi ses droits renforcés (consolidation des obligations d’information, restrictions en termes de recueil de consentement, nouveau droit à la portabilité des données, à l’effacement, etc.). Sous l’impulsion du RGPD sont ainsi renforcées les devoirs et responsabilités de toute la chaîne d’acteurs, du responsable de traitement aux partenaires commerciaux en passant par les sous-traitants fournisseurs de services. Ces contraintes s’appuient notamment sur les principes de « Privacy by Design » et « d’accountability ». Concrètement, cela signifie que chaque entreprise doit se doter d’une politique de protection des données globale en s’assurant, dès le moment de la conception, que le nouveau service qu’elle s’apprête à lancer sur le marché et qui va lui permettre de collecter des données est bien conforme à la réglementation.

 

Quelles sont les principales mesures du RGPD ?

1. Réalisation d’une analyse d’impact avant la mise en place d’un traitement de données
2. Consentement clair et explicite à la collecte des données
3. Accès facilité de la personne à ses données (Droit à l’oubli – Droit de portabilité)
4. Notification des violations de données personnelles (« Data Breach Notification »)
5. La création et la maintenance d’un registre des traitements devient obligatoire
6. Création des délégués à la protection des données (DPP ou DPO, Data Protection Officer)
7. Transfert des données soumis à vérification
8. Restriction du profilage automatisé servant de base à une décision
9. Aggravation des sanctions (de 10 à 20 M€ ou de 2 à 4% du CA annuel mondial)

 

Quelles sont les actions à enclencher dans l'entreprise ?

Se mettre en conformité avec le RGPD suppose de définir au niveau de l’entreprise une Gouvernance de la Data. Parmi les exemples de mesures nouvelles et déterminantes pour se prémunir contre d’éventuelles sanctions :
• Désigner un Délégué à la protection des données (DPP)
• Cartographier les traitements actuels et déterminer leurs finalités ainsi que leur durée
• Créer un registre des activités de traitement
• Revoir les contrats de sous-traitance informatique et de gestion des données
• Assurer la transparence et l’information des personnes dont les données vont faire l’objet d’un traitement (consentement clairement obtenu), les informer d’incidents de traitement
• Notifier à la CNIL dans les 72h la survenance d’une faille ou intrusion
• Regrouper la documentation nécessaire pour démontrer la conformité au règlement
• Assurer en interne la mise en place d’un Référentiel Sécurité adéquat et mis à jour (Charte Utilisateurs des SI, Politique d’habilitation, Politique de gestion des incidents etc.)
• Réaliser des études d’impact.

 

Qu'est-ce qu'une donnée personnelle traitée ?

Toute information se rapportant à une personne physique identifiée ou identifiable (nom, n° d’identification, localisation, IP, adresse, données de santé, revenus, centres d’intérêts etc.)
Traitements concernés : tous les traitements automatisés ou non (collecte, utilisation, diffusion,effacement etc.)

 

Lexique

Accountability : elle est défini par la CNIL comme « l’obligation pour les entreprises de mettre en oeuvre des mécanismes et des procédures internes permettant de démontrer le respect des règles relatives à la protection des données ». l’accountability est au coeur du RGPD.

Privacy by Design : Suivant une logique de responsabilisation, chaque acteur doit désormais s’assurer de la conformité des traitements qu’il envisage de mettre en oeuvre dès le moment de leur conception. Cela implique la mise en oeuvre de mesures organisationnelles et techniques spécifiques et d’associer notamment le DPO à chaque stade de conception d’un nouveau service.

 

Sites web utiles

 

Source : CCI France / Département Industrie, Innovation, Intelligence économique