Découvrez le Réglement général sur la protection des données – RGPD

Qu’est-ce que le RGPD ?

Le Règlement Général sur la Protection des Données (RGPD) ou General Data Protection Regulation (GDPR), est entré en vigueur le 25 mai 2018. Ce règlement renforce les exigences concernant la sécurité et les activités de traitement des données personnelles et leur usage. Il s’agit d’un changement radical du régime de la protection des données tel qu’on le connaissait depuis trois décennies. Il s’applique de la même manière dans les 28 États membres de l’Union et implique pour toutes les entreprises et collectivités d’en comprendre les principes et d’apprendre à le mettre en œuvre.

Contraintes et obligations

Quelles sont les contraintes et les obligations :

  • Consentement expresse et spécifique de l’utilisateur, et nouveaux critères pour les collectes et les traitements
  • Plus de déclaration mais l’obligation de tenir un registre des traitements de données personnelles
  • Apparition d’un nouveau rôle au sein de l’entreprise ou de la collectivité : le Data Protection Officer
  • Des amendes allant jusqu’à 4 % du chiffre d’affaires Mondial (plafond à 20 M€)

Afin de faire face à cela, 12 mesures sont à mettre en oeuvre :

  1. Responsabilité et « Accountability », (Article 5)
  2. Consentement explicite, (Article 7)
  3. Information de la personne, (Article 11 à 14)
  4. Droit d’accès, de rectification et droit à l’oubli, (Article 15 à 17)
  5. Droit à la portabilité, (Article 20)
  6. Décisions automatisées, profilage, (Article 22)
  7. Protection by Design by Default & Security by default, (Article 25)
  8. Registre des traitements, (Article 30)
  9. Sécurisation des traitements, (Article 32)
  10. Fuite des données, (Article 33 et 34)
  11. Data Privacy Impact Assessment (DPIA), (Article 35)
  12. Data Protection Officer (DPO), (Article 37 à 39)

En savoir plus

La CNIL mets à disposition des kits d’information complets à destination des collectivités territoriales

Comment mettre en conformité

ETAPE
1
Désigner un pilote
Designer un pilote :
Pour piloter la gouvernance des données personnelles de votre structure, vous aurez besoin d’un véritable chef d’orchestre qui exercera une mission d’information, de conseil et de contrôle en interne : le délégué à la protection des données.
ETAPE
2
Cartographier
Cartographier vos traitements de données personnelles :
Pour mesurer concrètement l’impact du règlement européen sur la protection des données que vous traitez, commencez par recenser de façon précise vos traitements de données personnelles ; L’élaboration d’un registre des traitements vous permet de faire le point.
ETAPE
3
Prioriser
Prioriser les actions à mener :
Sur la base de votre registre, identifiez les actions à mener pour vous conformer aux obligations actuelles et à venir. Priorisez ces actions au regard des risques que font peser vos traitements sur les droits et les libertés des personnes concernées.
ETAPE
4
Gérer les risques
Gérer les risques :
Si vous avez identifié des traitements de données personnelles susceptibles d’engendrer des risques élevés pour les droits et libertés des personnes concernées, vous devrez mener, pour chacun de ces traitements, une analyse d’impact relative à la protection des données (DPIA).
ETAPE
5
Organiser
Organiser les processus internes :
Pour assurer un haut niveau de protection des données personnelles en permanence, mettez en place des procédures internes qui garantissent la prise en compte de la protection des données à tout moment, en prenant en compte l’ensemble des événements qui peuvent survenir au cours de la vie d’un traitement (Ex : faille de sécurité, gestion de demande de rectification ou d’accès, modification des données collectées, changement de prestataire).
ETAPE
6
Documenter
Organiser les processus internes :
Pour prouver votre conformité au règlement, vous devez constituer et regrouper la documentation nécessaire. Les actions et documents réalisés à chaque étape doivent être réexaminés et actualisés régulièrement pour assurer une protection des données en continu.

Glossaire

1- Accountability

Désigne l’obligation imposée par le GDPR/RGPD aux entreprises, de mettre en oeuvre des mécanismes, des documents et des procédures internes permettant de démontrer le respect des règles relatives à la protection des données.

2- Analyse d’impact relative à la protection des données (PIA)

elle vise à évaluer tous les processus et toutes les bases de données d’un département donné (finalités, durée de conservation des données, droits des personnes…) et à analyser les risques sur la sécurité des données (accès aux données, fraudes…) et leurs impacts potentiels sur la vie privée, afin de déterminer les mesures techniques et d’organisation pour protéger les données.

3- Anonymisation

Traitement permettant de rendre les données personnelles anonymes de telle manière que la personne concernée ne soit pas ou plus identifiable.

Désigne l’obligation imposée par le GDPR/RGPD aux entreprises, de mettre en oeuvre des mécanismes, des documents et des procédures internes permettant de démontrer le respect des règles relatives à la protection des données.

L’analyse d’impact relative à la protection des données (PIA) vise à évaluer tous les processus et toutes les bases de données d’un département donné (finalités, durée de conservation des données, droits des personnes…) et à analyser les risques sur la sécurité des données (accès aux données, fraudes…) et leurs impacts potentiels sur la vie privée, afin de déterminer les mesures techniques et d’organisation pour protéger les données.

Traitement permettant de rendre les données personnelles anonymes de telle manière que la personne concernée ne soit pas ou plus identifiable.

Traitement permettant de rendre les données personnelles anonymes de telle manière que la personne concernée ne soit pas ou plus identifiable.

Dans un premier temps, l’entreprise doit cartographier les processus de collecte des données à caractère personnel, concernant les employés comme les clients ou les candidats à l’embauche. Elle doit ensuite identifier les traitements qui leur sont associés et , leurs lieux et formats de stockage et consigner le tout dans un registre dédié.

Opération qui consiste à transformer un message à transmettre, dit « message clair », en un autre message, inintelligible pour un tiers, dit « message chiffré », en vue d’assurer le secret de sa transmission.

La CNIL (Commission Nationale de l’Informatique et des Libertés) est l’autorité de contrôle chargée de veiller à la bonne application de la règlementation sur les données personnelles.

selon l’Organisation mondiale de normalisation (ISO), la confidentialité des données consiste à s’assurer que les données ne sont accessibles qu’aux personnes autorisées, et donc à protéger les communications ou des données stockées contre l’interception et la lecture par des personnes non autorisées.