février 27

Ce qu’il faut savoir sur le RGPD

Actu de la PI, Conseils pratiques

0  comments

Share0
Tweet0
Share0
Share0
Tweet0
Share0

Ce qu’il faut savoir sur le RGPD

Le RGPD ou Règlement Général européen sur la Protection des Données personnelles est d’actualité en ce moment, car il entre en vigueur le 25 mai 2018. Tous les pays membres de l’Union Européenne sont concernés par ce texte.

Les entreprises ont l’obligation de se conformer à ce règlement avant son application. Certaines l’appréhendent, alors que ces dispositions apportent des avantages.

Qu’entend-on par RGPD ? Quels sont ses objectifs et ses principales mesures ? Comment être en conformité avec ce règlement ?

Le RGPD, qu’est-ce que c’est ?

Ce texte adopté le 27 avril 2016 protège les données à caractère personnel, et donc la vie privée des internautes européens. Il leur permet d’assurer le contrôle de leurs informations privées. Il a un impact sur les professionnels de l’Union Européenne collectant des données personnelles. En France, c’est la CNIL qui veillera à la bonne exécution du RGPD, notamment par des contrôles des entreprises.

 

Qui est concerné ?

Tous les organismes, au sens large, sont concernées par le RGPD, du moment qu’ils traitent des données personnelles : de la société anonyme au micro-entrepreneur, en passant par la SARL unipersonnelle, l’organisme public ou même l’association.

 

Les données personnelles, qu’est-ce que c’est ?

Les données sont dites personnelles lorsqu’elles permettent l’identification directe ou indirectes d’un individu. Sont donc des données personnelles les informations suivantes : nom, prénom, adresse, email, numéro de téléphone, adresse IP de l’ordinateur, données de profilage…

 

Les trois objectifs du RGPD

Le RGPD a un triple but :

  • Renforcer les droits de tous les citoyens sur leurs données personnelles ;
  • Intensifier le contrôle des informations privées et des structures les recueillant, ainsi que la mise en œuvre des sanctions dans l’Union Européenne ;
  • Responsabiliser les entreprises récoltant les données personnelles.

 

Les cinq mesures phares du RGPD

Le Règlement européen comprend cinq mesures principales :

 

Sécuriser le traitement des données personnelles

 

Les entreprises doivent garantir et pouvoir prouver que le traitement des données est sécurisé et conforme au RGPD à n’importe quel instant. La traçabilité du traitement des données doit être réalisable pour estimer les bonnes pratiques des sociétés quant à l’usage des informations personnelles.

 

La déclaration obligatoire des fichiers de traitement de données auprès de la CNIL n’existera plus dans le futur : on responsabilise ainsi les responsables de traitement, qui ont désormais une obligation de conformité.

 

Rendre transparent le traitement des informations personnelles

 

La collecte et le traitement des données doivent être transparents : la personne concernée doit pouvoir donner son consentement, connaître les objectifs poursuivis ainsi que la durée de conservation des données. La structure doit conserver ces informations afin d’en garder une preuve en cas de contrôle de la CNIL.

 

Et bien entendu, toute personne peut demander la rectification, la portabilité ou la suppression de ses données à tout moment, grâce à une information claire sur la procédure pour faire une telle demande.

 

Informer la CNIL de toute faille mettant en danger le respect de la vie privée

 

Une entreprise constatant une faille dans son système d’information (un hacking extérieur, par exemple), qui est susceptible de porter atteinte à la vie privée des personnes dont les données ont été collectées, doit en informer la CNIL dans les 2 jours de la découverte de la faille.

 

Prolonger les obligations aux sous-traitants

 

Les sous-traitants travaillant pour les organismes mettant en œuvre des traitements de données doivent être en conformité avec le RGPD. Dès lors, les sociétés ont l’obligation de sélectionner un prestataire répondant aux dispositions du Règlement.

 

Pour donner un exemple simple, un entrepreneur qui collecte des données personnelles sur son site internet via un formulaire de contact, doit s’assurer que l’hébergeur de son site web, à travers lequel transitent ces données, est lui-même conforme au RGPD.

 

Conférer de nouveaux droits aux citoyens

Le Règlement apporte des droits liés à l’usage et au traitement des données personnelles :

  • Grâce au droit à l’oubli, une personne peut solliciter la suppression définitive de ses données personnelles ;
  • Via le droit à la portabilité des données, les personnes ont la possibilité de demander les données personnelles qu’elles ont communiqué à un organisme, qui lui seront transmises dans un format intelligible et facilement réutilisable ;
  • D’après le droit sur la protection des données de mineurs, les mineurs de moins de 16 ans (15 ans pour la France) ne peuvent pas donner eux-mêmes leur consentement à la collecte de données personnelles les concernant. Il faut l’accord de leur représentant légal.

 

Les cinq étapes pour conformer une entreprise au RGPD

Pour la CNIL, ces phases permettent aux entreprises de respecter le Règlement en mai 2018, ou en tout cas, d’être en bonne voie vers la conformité :

  • Le RGPD invite à choisir un délégué à la protection des données (DPO). Cette nomination est obligatoire pour les organismes publics, les organismes travaillant des données à grande échelle et les organismes collectant des données sensibles relatives à la santé et au domaine juridique notamment.

Le DPO s’assure du respect du RGPD et contrôle le travail réalisé sur la protection des données. Le DPO devant être indépendant, il ne peut pas être le dirigeant. Dès lors, dans les petites structures, il n’est pas obligatoire, et peut également être externalisé (plusieurs petites structures pourront mutualiser un DPO afin de réduire les coûts) ;

 

  • Recenser les différents traitements de données personnelles réalisés dans l’entreprise, ainsi que leurs objectifs (cela permet de supprimer les données pour lesquelles l’objectif a été atteint, ou de limiter certaines collectes aux données strictement nécessaires à l’accomplissement de l’objectif). Ces traitements devront figurer dans un registre spécifique ;

 

  • Faire une analyse d’impact sur la vie privée des personnes concernées par les traitements mis en œuvre par l’entreprise. La CNIL a mis au point un logiciel open source permettant de réaliser l’étude d’impact en suivant sa méthode.

 

  • Sécuriser les données personnelles en interne (serveurs sécurités, cryptage de certaines données, mots de passe pour accéder aux matériels qui permettent de consulter les données tels que PC, téléphone…, traçage des connexions…).

 

  • La CNIL préconise de garder les justificatifs de mise en conformité pour prouver la bonne foi de l’entreprise.

 

Cette infographie très bien faite donne des informations générales sur le RGPD, ainsi que de nombreux liens utiles : voir la vidéo.

 

Globalement, l’essentiel des réponses aux questions posées par les entreprises se trouvent sur le site de la CNIL, qui propose des outils, des modèles de fichiers ou de clauses pour se conformer au RGPD.

 

Afin d’être prêtes dans les temps, les entreprises peuvent également se rapprocher d’un Conseil en Propriété Industrielle pour faire le point sur les différents éléments à améliorer en vue de leur conformité.

Tags

You may also like