RGPD – Soyez en conformité avant le 25 Mai 2018

RGPD – Soyez en conformité avant le 25 Mai 2018

RGPD – Soyez en conformité avant le 25 Mai 2018

Le nouveau Règlement Générale de Protection des Données (RGPD) sera appliqué dans l’Union européenne à partir du 25 Mai 2018.

Bien comprendre pour bien se préparer :

Qu’est-ce que le RGPD ?

Le Règlement Général sur la Protection des Données personnelles (RGPD) harmonise le droit européen en matière de protection des données personnelles. Il sera directement applicable en France à partir du 25 mai 2018 et concernera l’ensemble des acteurs (start-ups, PME, TPE, grands groupes, associations, syndicats, organisations professionnelles, collectivités publiques…)

Cette nouvelle loi a différents objectifs :

  1. Renforcer les droits des personnes ;
  2. Responsabiliser les acteurs traitant des données;
  3. Crédibiliser la régulation.

Qu’est-ce qu’une donnée personnelle ?

Toute information permettant d’identifier une personne physique (« personne concernée »), directement ou indirectement, y compris dans le monde professionnel (nom, adresse électronique, adresse IP, numéro de sécurité sociale, identifiant professionnel, image, données de localisation, données de connexion…).

Qu’est-ce qu’un traitement de données personnelles ?

Toute opération, en tout ou partie automatisée, portant sur des données à caractère personnel. Le traitement peut
revêtir diverses formes : collecte, enregistrement, conservation, adaptation, modification, extraction, consultation,
utilisation, communication par transmission, diffusion ou toute autre mise à disposition, rapprochement ou
interconnexion…

Qui est concerné ?

Le RGPD s’applique à toute personne quel que soit son lieu de situation géographique, mettant en œuvre des traitements de données personnelles visant à fournir des biens et des services aux résidents européens ou à les «cibler».

Quelles sont les nouveautés introduites par le RGPD ?

  • Principe de co-responsabilité: désormais, ce n’est pas le seul “responsable du traitement” qui est juridiquement responsable des données. Les sous-traitants et prestataires de l’entreprise peuvent également assumer une responsabilité directe. Le responsable du traitement doit s’assurer de la conformité de ses fournisseurs, et les responsabilités sont distribuées en fonction de la mainmise de chacun sur les données.
  • La démarche de privacy by design: les données personnelles devront être identifiées directement en tant que telles dans le système afin de limiter leur accès. C’est donc dès la conception intellectuelle et technique des traitements que cette notion doit être intégrée. Le privacy by design doit donc être traduit en dur dans le code source des outils utilisés par l’entreprise.
  • La démarche de security by default: par défaut, les données doivent être discriminées pour n’utiliser que celles qui sont strictement nécessaires à la finalité poursuivie. Ainsi, les outils doivent être conçus de façon à discriminer les données selon les traitements et habilitations, pour répondre à cette obligation.
  • La démarche d’accountability: le responsable du traitement doit disposer de registres décrivant tous les traitements appliqués aux données, afin de pouvoir démontrer à tout moment que la protection des données personnelles au sein de sa structure est optimale.

Quelles sont les sanctions prévues par le RGPD ?  

  • Suspension temporaire des traitements de données, si malgré les diverses mises en garde la CNIL constate qu’un organisme ne se décide vraiment pas à se mettre à jour, elle peut lui infliger :
  • Une amende sur le chiffre d’affaires:

# Le montant de l’amende peut atteindre 2 % du chiffre d’affaires mondial de l’entreprise ou la somme de 10 millions d’euros (Pour des violations comme le défaut de tenue d’un registre des traitements, le défaut d’annonce suite à une faille décelée ou encore le défaut d’étude d’impact sur la vie privée)

# Ce montant peut grimper à 4 % du chiffre d’affaires mondial ou atteindre les 20 millions d’euros (Pour refus d’obtempérer face aux injonctions de la CNIL – Commission Nationale de l’Informatique et des Libertés – , en cas de traitements de données illégaux, de défaut de consentement, de manque de prudence lors des transferts transfrontaliers de données ou encore de non-respect des droits des personnes)

  • Peuvent s’ajouter des demandes de dommages et intérêts si une personne touchée par une des violations— par exemple en cas de fuite de ses données personnelles — décidait de porter plainte

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *