
Comprendre le RGPD en 10 points clefs
Publié le :
14/02/2019
14
février
févr.
02
2019
1. Objectif du RGPD
Le RGPD (Règlement Général sur la Protection des Données, GDPR en anglais) est entré en vigueur le 25 mai 2018. Il fixe le nouveau cadre juridique pour la collecte et le traitement par toutes les entreprises des données à caractère personnel des citoyens européens. Adopté par la Commission Européenne en avril 2016, il est l’évolution de la Directive de 1995 qui posait déjà les bases du règlement.2. Données à caractère personnel
Le RGPD renouvelle la définition des données à caractère personnel. Ce sont toutes les données qui permettent de remonter directement ou indirectement vers l’identité d’un individu. Toute adresse IP ou système de géolocalisation seront pris en compte.Il existe deux types de données :
- les données classiques : liées à l’identité de la personne
- les données sensibles : liées par exemple à l’appartenance à un parti politique, au sexe, à la religion, à la santé, et pouvant donc porter atteinte aux droits fondamentaux des personnes.
3. Qui est concerné ?
Le RGPD s’applique à toutes les organisations (entreprises privées, organismes publics, associations et sous-traitants) quels que soient leur taille ou leur secteur d’activité, dès lors qu’elles collectent et traitent des données personnelles de résidents de l’Union Européenne. Le règlement peut donc aussi bien concerner des sociétés établies sur le territoire européen que des organismes en dehors de l’UE.4. Responsabilité
Même si le RGPD reprend les principes de base déjà existant depuis de nombreuses années, les règles définies sont plus strictes. Les sociétés étaient jusqu’aujourd’hui soumises à une directive reposant sur un système de déclaration (en France : à la CNIL). A partir du 25 mai 2018, le véritable changement se jouera sur la dimension de responsabilisation des entreprises. Elles devront montrer comment les processus métiers sont organisés pour répondre favorablement aux contraintes de protection des données personnelles.5. Contrôle
Les entreprises sont donc totalement autonomes pour organiser et maintenir leur conformité avec le RGPD. Les contrôles vont se durcir et deviendront plus fréquents. Les autorités de protection des données personnelles, en France la CNIL, seront poussées à appliquer des sanctions très dissuasives pouvant aller jusqu’à 4% du CA mondial des sociétés concernées.Le règlement vise ici à remettre le sujet de la protection des données au cœur des préoccupations de toutes les entreprises.
6. Désigner un pilote
Le nouveau principe de responsabilisation des entreprises nécessitera un suivi permanent de la conformité de tous les processus concernés. Il sera donc indispensable d’avoir en interne ou en externe un responsable dédié qui pourra opérer tous les changements nécessaires pour appliquer la loi et rester en conformité. Ce rôle de DPO (Délégué à la Protection des Données ou Data Protection Officer) pourra être endossé par l’ancien CIL (Correspondant Informatique et Libertés), mais pas systématiquement. En effet, cette nouvelle fonction demande une implication et une connaissance parfaite du règlement pour piloter tous les projets où la mise en conformité entre en jeu. La responsabilité de l’entreprise passe par lui, il est le véritable chef d’orchestre RGPD.Attention, la seule nomination d’un DPO ne peut suffire au lancement du processus de mise en conformité RGPD, l’entreprise doit mettre à disposition les moyens (financiers et humains) nécessaires à la mise en œuvre des missions.
7. Registre des traitements
L’étape indispensable pour mesurer l’impact du RGPD sur l’entreprise est l’identification de tous les traitements de données personnelles. La création et la mise à jour du registre permettra de faire le point tout au long de la vie de la donnée afin s’assurer que les traitements respectent bien les obligations légales.Lorsque l’entreprise élabore ce registre, elle doit y décrire précisément :
- Les finalités du traitement : les raisons légitimes qui poussent la société à collecter et traiter une donnée
- Les catégories de données traitées
- Les personnes concernées
- Les destinataires
- Les acteurs qui traitent des données (identification claire des sous-traitants éventuels)
- Le flux des données (hors Europe ?)
- La politique de sécurité déployée, les mesures de sécurité de la protection des données.
8. Analyse des risques
Dans le cas des données dites sensibles, dont le traitement présente un risque élevé d’atteinte aux droits fondamentaux de la personne, il est obligatoire pour l’entreprise d’effectuer une analyse d’impact des opérations de traitement. Il faut identifier le niveau du risque, les finalités et l’intérêt légitime du traitement associé à sa finalité.Dans ce cadre, la CNIL peut être au préalablement consultée pour étudier le risque élevé et guider les responsables de traitements dans leurs démarches.
9. Privacy by Design
La cartographie des traitements est l’outil de base qui permet à l’entreprise de créer sa feuille de route à suivre pour initier les chantiers prioritaires. En effet, après avoir identifié notamment les traitements les plus à risque, il est plus simple de mettre en place les premières mesures pour protéger les personnes concernées.Lorsqu’une entreprise développe un nouveau projet, le traitement des données personnelles doit être au cœur de la réflexion. Il s’agit du principe de Privacy by Design qui oblige l’organisme à analyser le traitement de la donnée dans le cadre du nouveau projet pour permettre d’analyser son impact.
10. Sensibiliser
La CNIL, dans son rôle de contrôleur RGPD, accordera beaucoup d’importance aux moyens mis en œuvre par les entreprises dans leur mise en conformité.Dans ce cadre, la sensibilisation de tous les collaborateurs, pas seulement du management et des responsables impactés, est indispensable pour mener à bien tous les projets intégrant des traitements. Tout type d’information interne sur le sujet peuvent permettre de fluidifier la mise en conformité RGPD à tous les niveaux dans l’entreprise.
Evaluez gratuitement votre conformité RGPD en cliquant ici
Historique
-
Sophos et Matilan renforcent leur partenariat pour proposer une offre complète de cybersécurité aux entreprises de toutes tailles
Publié le : 09/10/2020 09 octobre oct. 10 2020ACTUSSophos, leader mondial en solutions de cybersécurité Next-Gen, annonce l’exte...
-
Le groupe Septeo fait l'acquisition de Novatim et de l'opérateur télécoms APPLIWAVE
Publié le : 24/11/2019 24 novembre nov. 11 2019ACTUSParis, le 21 novembre 2019 - Le Groupe Septeo élargit son offre de services I...
-
RGPD : les sanctions se succèdent
Publié le : 10/07/2019 10 juillet juil. 07 2019ACTUSUne PME Parisienne condamnée à 20.000€ d’amende par la CNIL Uniontrad Compan...
-
Garantissez une informatique sécurisée, même en vacances !
Publié le : 05/07/2019 05 juillet juil. 07 2019ACTUSLes vacances estivales commencent ! Nombreux sont les collaborateurs qui vont...
-
RGPD : la CNIL condamne une petite entreprise parisienne de neuf salariés à 20.000 euros d’amende
Publié le : 19/06/2019 19 juin juin 06 2019ACTUSLa CNIL avait déjà enjoint la société de déplacer la caméra qui filmait sans...
-
Matilan & HP : un partenariat solide pour proposer des solutions fiables aux entreprises
Publié le : 11/04/2019 11 avril avr. 04 2019ACTUSLe secteur de l’impression évolue à une vitesse fulgurante. Matilan fait le...
-
5 conseils pour augmenter la sécurité des imprimantes
Publié le : 11/04/2019 11 avril avr. 04 2019ACTUSLes imprimantes, copieurs multifonctions, scanners et autres périphériques d’...
-
Le travail collaboratif : les avantages d’une révolution numérique et humaine
Publié le : 07/03/2019 07 mars mars 03 2019ACTUSLes entreprises évoluent, les usages des salariés aussi. Hier, l’esprit colla...
-
Comprendre le RGPD en 10 points clefs
Publié le : 14/02/2019 14 février févr. 02 2019ACTUS1. Objectif du RGPD Le RGPD (Règlement Général sur la Protection des Données...