Comprendre le RGPD en 10 points clefs

Comprendre le RGPD en 10 points clefs

Publié le : 14/02/2019 14 février Fév. 2019

1. Objectif du RGPD

Le RGPD (Règlement Général sur la Protection des Données, GDPR en anglais) est entré en vigueur le 25 mai 2018. Il fixe le nouveau cadre juridique pour la collecte et le traitement par toutes les entreprises des données à caractère personnel des citoyens européens. Adopté par la Commission Européenne en avril 2016, il est l’évolution de la Directive de 1995 qui posait déjà les bases du règlement.

2. Données à caractère personnel

Le RGPD renouvelle la définition des données à caractère personnel. Ce sont toutes les données qui permettent de remonter directement ou indirectement vers l’identité d’un individu. Toute adresse IP ou système de géolocalisation seront pris en compte.
Il existe deux types de données :
- les données classiques : liées à l’identité de la personne
- les données sensibles : liées par exemple à l’appartenance à un parti politique, au sexe, à la religion, à la santé, et pouvant donc porter atteinte aux droits fondamentaux des personnes.

3. Qui est concerné ?

Le RGPD s’applique à toutes les organisations (entreprises privées, organismes publics, associations et sous-traitants) quels que soient leur taille ou leur secteur d’activité, dès lors qu’elles collectent et traitent des données personnelles de résidents de l’Union Européenne. Le règlement peut donc aussi bien concerner des sociétés établies sur le territoire européen que des organismes en dehors de l’UE.

4. Responsabilité

Même si le RGPD reprend les principes de base déjà existant depuis de nombreuses années, les règles définies sont plus strictes. Les sociétés étaient jusqu’aujourd’hui soumises à une directive reposant sur un système de déclaration (en France : à la CNIL). A partir du 25 mai 2018, le véritable changement se jouera sur la dimension de responsabilisation des entreprises. Elles devront montrer comment les processus métiers sont organisés pour répondre favorablement aux contraintes de protection des données personnelles.

5. Contrôle

Les entreprises sont donc totalement autonomes pour organiser et maintenir leur conformité avec le RGPD. Les contrôles vont se durcir et deviendront plus fréquents. Les autorités de protection des données personnelles, en France la CNIL, seront poussées à appliquer des sanctions très dissuasives pouvant aller jusqu’à 4% du CA mondial des sociétés concernées.
Le règlement vise ici à remettre le sujet de la protection des données au cœur des préoccupations de toutes les entreprises.   

6. Désigner un pilote

Le nouveau principe de responsabilisation des entreprises nécessitera un suivi permanent de la conformité de tous les processus concernés. Il sera donc indispensable d’avoir en interne ou en externe un responsable dédié qui pourra opérer tous les changements nécessaires pour appliquer la loi et rester en conformité. Ce rôle de DPO (Délégué à la Protection des Données ou Data Protection Officer) pourra être endossé par l’ancien CIL (Correspondant Informatique et Libertés), mais pas systématiquement. En effet, cette nouvelle fonction demande une implication et une connaissance parfaite du règlement pour piloter tous les projets où la mise en conformité entre en jeu. La responsabilité de l’entreprise passe par lui, il est le véritable chef d’orchestre RGPD.
Attention, la seule nomination d’un DPO ne peut suffire au lancement du processus de mise en conformité RGPD, l’entreprise doit mettre à disposition les moyens (financiers et humains) nécessaires à la mise en œuvre des missions.

7. Registre des traitements

L’étape indispensable pour mesurer l’impact du RGPD sur l’entreprise est l’identification de tous les traitements de données personnelles. La création et la mise à jour du registre permettra de faire le point tout au long de la vie de la donnée afin s’assurer que les traitements respectent bien les obligations légales.
Lorsque l’entreprise élabore ce registre, elle doit y décrire précisément :
-           Les finalités du traitement : les raisons légitimes qui poussent la société à collecter et traiter une donnée
-           Les catégories de données traitées
-           Les personnes concernées
-           Les destinataires
-           Les acteurs qui traitent des données (identification claire des sous-traitants éventuels)
-           Le flux des données (hors Europe ?)
-           La politique de sécurité déployée, les mesures de sécurité de la protection des données.

8. Analyse des risques

Dans le cas des données dites sensibles, dont le traitement présente un risque élevé d’atteinte aux droits fondamentaux de la personne, il est obligatoire pour l’entreprise d’effectuer une analyse d’impact des opérations de traitement. Il faut identifier le niveau du risque, les finalités et l’intérêt légitime du traitement associé à sa finalité.
Dans ce cadre, la CNIL peut être au préalablement consultée pour étudier le risque élevé et guider les responsables de traitements dans leurs démarches.

9. Privacy by Design

La cartographie des traitements est l’outil de base qui permet à l’entreprise de créer sa feuille de route à suivre pour initier les chantiers prioritaires. En effet, après avoir identifié notamment les traitements les plus à risque, il est plus simple de mettre en place les premières mesures pour protéger les personnes concernées.
Lorsqu’une entreprise développe un nouveau projet, le traitement des données personnelles doit être au cœur de la réflexion. Il s’agit du principe de Privacy by Design qui oblige l’organisme à analyser le traitement de la donnée dans le cadre du nouveau projet pour permettre d’analyser son impact. 

10. Sensibiliser

La CNIL, dans son rôle de contrôleur RGPD, accordera beaucoup d’importance aux moyens mis en œuvre par les entreprises dans leur mise en conformité.
Dans ce cadre, la sensibilisation de tous les collaborateurs, pas seulement du management et des responsables impactés, est indispensable pour mener à bien tous les projets intégrant des traitements. Tout type d’information interne sur le sujet peuvent permettre de fluidifier la mise en conformité RGPD à tous les niveaux dans l’entreprise.
 
Evaluez gratuitement votre conformité RGPD en cliquant ici
 

Historique

<< < 1 2 3 4 5 6 7 ... > >>
Information sur les cookies
Ce site utilise des "cookies" pour effectuer de la mesure d’audience, ne nécessitant pas de consentement préalable, en application des textes régissant la protection des données personnelles.
Vos données personnelles ne sont pas collectées et ces cookies ne représentent aucun danger pour votre équipement.
En poursuivant votre navigation sur ce site, vous acceptez l'utilisation des cookies. Plus d'informations Moins d'informations
Les cookies sont des fichiers textes utilisés à des fins statistiques ou pour le fonctionnement de certains modules d'identification par exemple.
Ces fichiers ne sont pas dangereux pour votre périphérique et ne sont pas utilisés pour collecter des données personnelles.
Le présent site n’utilise que des cookies d'identification, d'authentification, d’analyse de mesure d'audience ou de load-balancing ne nécessitant pas de consentement préalable, en application des textes régissant la protection des données personnelles.
Vous pouvez cependant vous opposer à la mise en place de ces cookies en désactivant cette option dans les paramètres de votre navigateur.
Nous vous invitons à consulter les instructions de votre navigateur à cet effet et vous informons qu'en cas de blocage de ces cookies certaines fonctionnalités du site peuvent devenir indisponibles.
J'ai compris