Entré en vigueur depuis le 25 mai 2018, vous vous demandez certainement ce qu’est le Règlement Général sur la Protection des Données Personnelles (RGPD) ?
RGPD : Une réglementation comparable à la comptabilité.
Le RGPD est avant tout une réglementation et comme telle, elle s’applique à tous et ne se discute pas. Elle est une évolution significative du cadre législatif relatif à la protection des données. Toutes les structures qui traitent des données à caractère personnel doivent se conformer à ce cadre légal tout au long du cycle de vie de la donnée.
Une analogie peut se faire avec la tenue de la comptabilité financière. Vous pouvez collecter et traiter des données personnelles dans les règles que le RGPD vous impose. Il vous incombe de prouver cette conformité. Le pouvoir de sanction des autorités de contrôle est également renforcé.
RGPD : L’accountability.
L’accountability est une approche renforcée de la gestion des données personnelles. Vous ne devez plus seulement déclarer des fichiers, mais mener une politique de gouvernance de ces données selon deux principes : le privacy by design et le privacy by default. Cette notion a profondément modifié les pratiques en introduisant de nombreux principes que nous allons vous présenter. Vos sous-traitants doivent aussi respecter cette approche. Tous les secteurs d’activités sont concernés.
RGPD : Les principes.
L’article 5 du RGPD précise les principes phares : Licéité, loyauté et transparence, limitation des finalités, minimisation des données, conservation limitée des données, exactitude des données et sécurité des données. Certaines dénominations ont été modifiées mais ces principes ne sont pas totalement inconnus aux responsables de traitements. Le détail de ces traitements étant très dense, il fait l’objet d’un article dédié : les principes du RGPD.
RGPD : Les droits.
Les utilisateurs sont de plus en plus sensibles à l’utilisation de leurs données personnelles. Le RGPD restitue par le droit, le pouvoir aux utilisateurs sur leurs données personnelles. 11 droits sont renforcés ou créés :
- Droit d’information sur le traitement des données exprimé de façon claire et simple
- Droit d’information en cas de violation de ses données personnelles
- Droit à l’oubli en supprimant les données
- Droit à la limitation du traitement (pour faire valoir ses droits en justice)
- Droit à la portabilité des données (changement de fournisseur)
- Droit d’opposition (encadrement du profilage)
- Dispositions propres aux personnes mineures.
RGPD : Les nouvelles obligations.
Les obligations liées à la règlementation sont nombreuses. Voici les principales : désigner un DPO compétent, indépendant et le munir de moyens d’actions, réaliser une cartographie des traitements de données à caractère personnel, initier les actions de mise en conformité, réaliser des PIA, organiser les processus, documenter les éléments de preuves…
RGPD : Les acteurs.
Les principaux acteurs sont DPO / DPD, responsables de traitement, tiers, sous-traitants…
-
DPO / DPD : Data Protection Officer / Délégué à la Protection des Données. Il est le chef d’orchestre de la gouvernance des données personnelles. Il va piloter votre mise en conformité. Il est également l’interlocuteur de la CNIL. Le DPO ne peut pas être une personne de votre service informatique interne ou externe ou le dirigeant.
- Responsable de traitement : Toute personne physique, morale, l’autorité publique, le service ou un autre organisme, qui détermine les finalités et les moyens du traitement de données à caractère personnel. Exemples : Membre de la direction générale, DSI, DRH…
- Co-responsable de traitement : Toute personne physique, morale, l’autorité publique, le service ou un autre organisme, qui détermine conjointement les finalités et les moyens du traitement de données à caractère personnel.
- Le sous-traitant : Toute personne physique, morale, l’autorité publique, le service ou un autre organisme, qui traite des données à caractère personnel pour un responsable de traitement.
- Personne concernée : personne physique identifiée ou identifiable dont les données personnelles sont traitées.
RGPD : Les sanctions.
Le non-respect et la violation du RGPD entraînent des sanctions dissuasives. Elles peuvent être financières, pénales, médiatiques et opérationnelles.