Entré en application le 25 mai 2018, le Règlement Général sur la Protection des Données (RGPD) encadre le traitement des données personnelles sur le territoire de l’Union européenne. Avec l’avènement du numérique, établir un cadre légal et réglementaire pour la protection des individus s’avère indispensable. Il est donc important de protéger et de renforcer les droits des utilisateurs, de restaurer la confiance et de responsabiliser les entreprises lors du traitement des données personnelles de leurs clients.
Ce nouveau règlement européen s’inscrit dans la continuité de la Loi française Informatique et Libertés de 1978 et renforce le contrôle par les citoyens de l’utilisation qui peut être faite des données les concernant. Il harmonise les règles en Europe en offrant un cadre juridique unique aux professionnels. Il permet de développer leurs activités numériques au sein de l’UE en se fondant sur la confiance des utilisateurs. Les sanctions prévues en cas d’infraction sont d’ailleurs non négligeables (jusqu’à 20 M € ou 4% du CA).
La RGPD est encore un peu floue pour vous ? On vous aide à la comprendre en 5 questions !
Quels sont les objectifs poursuivis ?
Pour commencer, 3 objectifs sont poursuivis par l’adoption de ce nouveau règlement.
- Renforcer les droits des personnes, notamment par la création d’un droit à la portabilité des données personnelles et de dispositions propres aux personnes mineures ;
- Responsabiliser les acteurs traitant des données (responsables de traitement et sous-traitants) ;
- Crédibiliser la régulation grâce à une coopération renforcée entre les autorités de protection des données, qui pourront notamment adopter des décisions communes lorsque les traitements de données seront transnationaux et des sanctions renforcées.
A qui s’applique le RGDP ?
Tout organisme quels que soient sa taille, son pays d’implantation et son activité, peut être concerné.
En effet, le RGPD s’applique à toute organisation, publique et privée, qui traite des données personnelles pour son compte ou non, dès lors qu'elle est établie sur le territoire de l’Union européenne ou que son activité cible directement des résidents européens. Le RGPD concerne aussi les sous-traitants qui traitent des données personnelles pour le compte d’autres organismes.
Ainsi, si une entreprise traite ou collecte des données pour le compte d’une autre entité (entreprise, collectivité, association), elle a des obligations spécifiques pour garantir la protection des données qui lui sont confiées.
Quelles sont les obligations en découlant ?
La protection des données personnelles des personnes physiques est un droit fondamental. Le consentement est l’une des 6 bases légales qui autorisent à collecter, à traiter et à analyser les données des clients d’une entreprise. Les entreprises concernées doivent désormais mettre à la disposition de ses clients une information claire, accessible et intelligente pendant la collecte des données.
Le RGPD généralise la notification des violations au niveau de la protection des données. Tout dirigeant d’entreprise doit garantir la sécurité des données personnelles par tout moyen technique adapté. En cas de manquement, il est de mise de signaler toutes les failles de sécurité à l’autorité de contrôle compétente, la CNIL. Les sous-traitants doivent également signaler tout manquement au niveau du traitement des données personnelles sous peine de sanctions qui seront désormais très lourdes pour les entreprises concernées.
Enfin, dès la mise en application du RGPD, la tenue d’un registre de traitement des données personnelles devient obligatoire. Il est régulièrement mis à jour et aide à prouver la démarche de mise en conformité d’une entreprise en cas de contrôle.
Qu’est qu’une donnée au sens du RGPD ?
Il s’agit de toute information relative à une personne physique susceptible d'être identifiée, directement ou indirectement, peu importe que ces informations soient confidentielles ou publiques.
Par exemple : un nom, une photo, une empreinte, une adresse postale, une adresse mail, un numéro de téléphone, un numéro de sécurité sociale, un matricule interne, une adresse IP, un identifiant de connexion informatique, un enregistrement vocal, etc.
Le traitement de la donnée correspond quant à lui à toute opération (collecte, tri, transfert, suppression, extraction…) ou ensemble d'opérations portant sur des données personnelles réalisées en vue d'une finalité donnée.
Concrètement, quelles actions doivent mises en place ?
- Identification des acteurs clés (internes ou externes) qui traitent ces données et identifier les prestataires sous-traitants afin d’actualiser les clauses de confidentialité.
- Réalisation de la cartographie du traitement des données à caractère personnel : recenser les données personnelles collectées et traitées.
- Priorisation des actions à mener au regard des obligations légales en matière de droits et de libertés des personnes concernées.
- Gestion des risques identifiés (traitements de données personnelles susceptibles d’engendrer des risques élevés pour les droits et libertés des personnes concernées) et réalisation d’une ou plusieurs analyses d’impact sur la protection des données.
- Définition de procédures internes de traitement des évènements qui peuvent survenir.
- Réalisation de la documentation de conformité : registre des traitements qui pourra être fourni à la CNIL en cas de contrôle.
Grâce à sa plateforme, Lya Protect vous assure d'être en conformité avec la RGPD !
Photo by Goran Ivos ; Sigmund on Unsplash
