Nous utilisons des cookies pour personnaliser le contenu et les annonces, pour fournir des fonctionnalités de médias sociaux et pour analyser notre trafic. Nous partageons également des informations sur votre utilisation de notre site avec nos partenaires des médias sociaux, de la publicité et de l'analyse. En savoir plus
GDPR
25/09/2018

Comprendre le RGPD en 7 questions - réponses 

Le 25 mai dernier a marqué l’entrée en vigueur du Règlement Européen sur la Protection des Données. Pour beaucoup, le RGPD est synonyme de contrainte supplémentaire, mais il est surtout mis en place pour permettre une meilleure protection des données de chacun. Si le sujet du RGPD vous parait encore flou, l’article ci-dessous vous concerne ! 

Qu’est-ce que le RGPD ?

Le Règlement général sur la protection des données (RGPD ou GDPR, pour General data protection regulation en anglais) est le nouveau cadre européen concernant le traitement et la circulation des données à caractère personnel. Voté en 2016 pour répondre aux évolutions technologiques et aux usages qui explosent, il est entré en application le 25 mai 2018.

Quel est l’objectif du RGPD ?

Le RGPD a pour vocation d’être le nouveau texte de référence dans l’Union européenne au sujet des données personnelles, il remplace notre loi française Informatique et Libertés de 1978.  Une réforme de la législation semblait nécessaire compte tenu des évolutions technologiques et du manque d’information sur les multiples usages de nos données personnelles. Ainsi, le RGPD rend aux citoyens le contrôle sur l’utilisation de leurs données.  

Du côté professionnel, le RGPD harmonise les règles en Europe en offrant un cadre juridique unique. Il permet de développer leurs activités numériques au sein de l’Union européenne en se fondant sur la confiance des utilisateurs.

Qu’est-ce qu’une donnée personnelle ?

Une donnée personnelle (ou donnée à caractère personnel) est une information qui permet d’identifier une personne physique directement ou indirectement. Il peut s’agir par exemple d’un nom, d’une photographie, d’un numéro de téléphone, d’un identifiant de connexion informatique, d’une adresse postale, d’une empreinte, d’un enregistrement vocal, d’un numéro de sécurité sociale, d’un mail, etc. Certaines de ces données sont dites « sensibles » et nécessitent une attention supplémentaire de votre part sur leur gestion. 

Une donnée est sensible lorsqu’elle contient des informations qui peuvent donner lieu à de la discrimination ou à des préjugés. Sont par exemple listées comme sensibles les opinions politiques, les sensibilités religieuses, les engagements syndicaux, les informations ethniques, les orientations sexuelles ou encore les informations médicales.

A noter que l’identification d’une personne physique peut être réalisée : à partir d’une seule donnée ou bien à partir du croisement d’un ensemble de données (exemple : une femme vivant à telle adresse, née tel jour, abonnée à tel magazine et militant dans telle association).

Qui est concerné ?

Tous les organismes sont concernés en Union européenne, ainsi que les entreprises hors UE qui traitent des données personnelles de résidents européens. Le RGPD concerne aussi les sous-traitants qui traîent des données personnelles pour le compte d’autres entreprises. La taille de l’entreprise, son secteur d’activité ou son caractère public ou privé n’entre pas en ligne de compte. Même une petite Start-up qui se lance dans de l’e-santé doit aussi respecter les exigences du règlement. 

Les entreprises sont concernées selon 3 dimensions : 

  • Les données des collaborateurs 

  • Les données des clients et prospects 

  • Toutes les autres données manipulées comme : les sous-traitants, prestataires, visiteurs…

Une évolution, pas une révolution !

"Le RGPD n’interdit pas de traiter les données personnelles. Il a pour but de protéger les personnes et de sensibiliser les utilisateurs sur le volume de données auxquelles les entreprises ont accès et qui les concernent.Votre mot clé est transparence. Plus qu’une obligation légale, c’est une occasion de vous questionner sur votre approche de la data. Vous mettre au pas du RGPD renforcera la confiance en vos services."

Quels sont les droits pour les individus ?

Le RGPD réaffirme des droits qui existaient avant le 25 mai et en introduit de nouveaux. Les personnes physiques doivent pouvoir 

  • Etre informées de l’utilisation de leurs données  par qui, dans quelles finalités et pour combien de temps (être informées également en cas de fuite de leurs données) ; 

  • Accéder à leurs données ; 

  • Vérifier et corriger leurs données à tout moment; 

  • S’opposer à l’utilisation ou à la diffusion de leurs données. 

 

Le RGPD instaure également le droit à l’oubli pour obtenir le retrait ou l’effacement de données personnelles en cas d’atteinte à la vie privée. Un nouveau droit est celui de la portabilité des données, pour pouvoir passer d’un réseau social à l’autre, ou d’un prestataire à l’autre, sans perdre ses informations. La mise en pratique de ces deux nouveaux droits est un véritable challenge pour les entreprises : par quel moyen prouver l’effacement des données ? Et quels sont les outils et supports pour actionner la portabilité des données ?
Il faudra encore patienter quelques mois pour que la CNIL apporte des réponses techniques à ces questions. 

Enfin, les personnes pourront être défendues par les associations dans le cadre d’une action de groupe en vue de faire cesser la partie illicite d’un traitement de données.

Concrètement, quelles sont les responsabilités pour mon entreprise ?

En tant qu’organisme, vous devez : 

  • Garantir les droits des personnes concernées et leur exercice – cela passe en premier lieu par l’information et la sensibilisation. 

  • Dans le cas d'une violation de données personnelles, l'organisme concerné doit aviser l'autorité de surveillance au plus tard 72 heures après l'avoir constatée et l’individu dans les « meilleurs délais » 

  • La protection des données dès la conception et par défaut – Vous devez vous assurer que, tant dans vos usages que dans la mise en œuvre d'un nouveau produit ou service, les principes RGPD de protection des données soient respectés. 

  • Responsabilité - un organisme doit assurer et démontrer la conformité avec les principes RGPD de protection de données. 

  • Garantir que seules les données nécessaires et pertinentes à la finalité du traitement sont collectées et traitées et sont accessibles aux utilisateurs qui en ont besoin. 


Deux points
 doivent appeler votre vigilance en particulier : les récoltes des consentements et la conformité de vos sous-traitants. 

  • Le consentement: is’agit de veiller à récolter un consentement écrit, clair et explicite de la personne avant tout traitement de données personnelles 

  • Vos sous-traitants: Vous devez veiller à ce que vos sous-traitants restent bien dans les exigences de la loi en matière de confidentialité et de sécurité, sous peine d’en subir les conséquences à sa place.

Quels sont les risques si je ne me conforme pas aux exigences du RGPD ?

Votre entreprise a tout intérêt à se conformer rapidement aux exigences du RGPD car les plafonds des sanctions sont particulièrement élevés: en cas d’infraction, des amendes jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial total de l’exercice précédent sont prévues pour l’organisme fautif, sachant que c’est le montant le plus élevé des deux qui sera retenuDes sanctions pénales sont également possibles. 

 

delaware vous apporte son aide, sans fausses promesses

"La précipitation peut être mauvaise conseillère. La mise en conformité au RGPD implique avant tout l’engagement de vos équipes pour adopter les bonnes pratiques. Contrairement aux sollicitations que vous recevez certainement, vous seul, avec votre recul, pouvez identifier efficacement les flux de données de votre entreprise et initier la mise en conformité. C’est pour cela que delaware vous propose une prestation de conseil, convaincu que la meilleure démarche réside dans l’information, la sensibilisation et l’accompagnement au changement"

Quelles sont les étapes de la mise en conformité ?

Face aux multiples dispositions du RGPD, la mise en conformité représente un défi particulièrement complexe. D'autant plus que les efforts et les procédures requis pour satisfaire aux exigences du RGPD peuvent varier selon votre activité, la configuration de vos systèmes ou vos procédures internes. 

La CNIL identifie 6 étapes de la mise en conformité :
  • Désigner un pilote
  • Cartographier les traitements de données personnelles
  • Prioriser les actions à mener
  • Gérer les risques
  • Organiser les processus internes
  • Documenter la conformité

Elise Lavabre