Comprendre le RGPD

Le RGPD met en œuvre une nouvelle logique d’accompagnement et de responsabilisation des acteurs qui traitent les données personnelles (administrations, entreprises, etc.). Le point.

Le point sur le RGPD

Des explications sur le RGPD s’imposent afin que le particulier puisse comprendre tous les enjeux. Les lois RGPD (règlement général sur la protection des données) s’inscrivent dans la continuité de la loi Informatique et Libertés datant de 1978. Cette dernière établissait les règles sur la collecte et l’utilisation des données en France. Les lois RGPD sont entrées en vigueur le 25 mai 2018 et les professionnels concernés par le traitement des données sont tenus de s’y conformer.

Les objectifs du RGPD

Le RGPD s’adresse aux entreprises publiques et privées qui collectent ou traitent des données, présentes sur le territoire Européen ou non, mais dont l’activité cible les Européens. Les lois RGPD concernent également les sous-traitants. Les lois RGPD comprennent les dispositions qui concernent les décisions prises sans participation humaine et utilisant les données personnelles pour en faire des hypothèses calculées sur les individus. Le RGPD a été mis en place avec trois objectifs :

  • Le renforcement des droits des personnes en créant un droit à la portabilité des données personnelles et de disposition pour les personnes mineures.
  • La responsabilisation des acteurs qui traitent des données (les sous-traitants et les responsables de traitement).
  • La crédibilisation de la régulation grâce à un renforcement de la coopération entre les autorités de protection des données.

Topo sur les données personnelles

La CNIL (Commission nationale de l'informatique et des libertés) décrit une donnée personnelle comme toute information qui se rapporte à une personne physique identifiée ou identifiable. L’identification est classée en deux types : l’identification directe (nom, prénoms, etc.) et l’identification indirecte (numéro, identifiant, etc.). L’on parle de traitement de données lorsqu’une ou plusieurs opérations qui portent sur des données personnelles sont réalisées. En font également partie :

  • La tenue d’un fichier d’un client ;
  • La collecte de coordonnées de prospects au moyen d’un questionnaire ;
  • La mise à jour d’un fichier de fournisseurs.

Si une entreprise subit une violation de données (destruction, perte, altération, divulgation, accès non autorisé de données personnelles), elle doit la signaler à la CNIL dans les 72 heures qui suivent.

RGPD lois (1)

Les conseils de la CNIL pour être conforme au RGPD

La CNIL fait part de six bons réflexes pour se mettre en conformité avec le RGPD. Ainsi, les entités concernées pourront l’appliquer et adopter les mesures adaptées afin d’assurer une utilisation des données transparente et respectueuse de la vie privée des individus concernés. Collectez uniquement les données vraiment nécessaires ; Soyez transparent ; Respectez le droit des personnes ; Maitrisez les informations que vous collectez ; Identifiez les risques en lien à votre traitement de données ; Mettez en place des dispositifs de sécurisation des données collectées.

Découvrez la face cachée du numérique .

Les sanctions

Des sanctions dans le cadre du RGPD s’appliquent aux responsables de traitement et aux sous-traitants dans le cas d’une méconnaissance des dispositions du règlement. Les autorités peuvent :

  • Donner un avertissement ;
  • Mettre en demeure la société concernée ;
  • Limiter un traitement temporairement ou définitivement ;
  • Enclencher la suspension des flux de données ;
  • Donner l’ordre de satisfaire aux demandes d'exercice des droits des personnes ;
  • Donner l’ordre de rectifier, de modifier ou d’effacer des données.

Concernant les nouveaux outils de conformité, l’autorité peut donner l’ordre à l’organisme de certification de retirer la certification délivrée ou la retirer elle-même. Les amendes administratives peuvent s’élever de 10 ou 20 millions d’euros, en fonction de la catégorie de l’infraction. Dans le cas d’une entreprise, elle peut atteindre 2 à 4 % du chiffre d’affaires annuel mondial en retenant le montant le plus élevé.

Le transfert de données hors de l’UE

Le transfert de données personnelles hors de l’UE est possible uniquement si les responsables de traitement et les sous-traitants réalisent le transfert avec des outils qui assurent un niveau de protection des personnes suffisant. Les données transmises en dehors de l’UE sont soumises au droit de l’Union pour le transfert, mais aussi pour le traitement ultérieur.

RGPD lois (2)

Les étapes pour se préparer au RGPD

L’entrée en vigueur du RGPD en mai 2018 a fait disparaître plusieurs formalités auprès de la CNIL et la responsabilité des organismes s’est vue renforcée en contrepartie. Désormais, ils doivent assurer une protection optimale des données et pouvoir la démontrer via une documentation de leur conformité. Étape 1 : désigner quelqu’un pour le pilotage de la gouvernance des données personnelles d’une structure. Étape 2 : cartographier le traitement des données personnelles pour mesurer l’impact concret du règlement sur les données traitées. Étape 3 : prioriser les actions à mener sur la base du registre de l’entreprise concernée. Étape 4 : gérer les risques pour les droits et libertés des personnes en menant une AIPD (analyse d'impact relative à la protection des données). Étape 5 : organiser les processus internes afin d’assurer un niveau de protection élevé des données personnelles en permanence. Étape 6 : documenter la conformité afin de prouver la conformité de l’enseigne au règlement.

Un renforcement des données sensibles

Le champ des données sensibles est, conformément au RGPD, étendu aux données relatives à l’orientation sexuelle ainsi qu’aux données génétiques et biométriques d’une personne. En raison de la nature même de ces informations, elles ne peuvent faire l’objet d’un traitement. Toutefois, le droit européen prévoit des dérogations à cette interdiction applicables en cas de sécurité sociale ou de consentement de la personne concernée. Les traitements de données biométriques sont également permis lors des contrôles d’accès sur les lieux de travail, car nécessaires. Les traitements qui portent sur la réutilisation d’informations, qui figurent dans les décisions de justice et qui sont diffusées dans le cadre de l’open data sont également autorisés.

Les droits des personnes concernées par le RGPD

Les individus concernés par le RGPD possèdent huit droits liés à leurs données personnelles :

  • Le doit d’être informé ;
  • Le droit d’accès ;
  • Le droit de rectification ;
  • Le droit d’effacement ;
  • Le droit à la limitation du traitement ;
  • Le droit à la portabilité des données ;
  • Le droit d’opposition ;
  • Le droit en lien avec la prise de décision automatisée, dont le profilage.

Apprenez-en davantage sur la politique de protection des données personnelles à travers ce site.