Comprendre le RGPD

Le Règlement général sur la protection des données, ou RGPD, a pris une place très importante dans l’actualité. Alors quelles sont les obligations des entreprises ? Cela concerne-t-il seulement les grosses organisations ?

Qu’est-ce que le RGPD

C’est le nouveau cadre européen concernant le traitement et la circulation des données à caractère personnel. Son objectif est de renforcer la protection des données et le respect des droits des personnes.

Ce texte, voté en 2016, est entré en application le 25 mai 2018. Il couvre l’ensemble des résidents de l’Union européenne et harmonise le cadre juridique européen en matière de protection des données personnelles. Le RGPD s’applique quand une organisation traite de données personnelles de résidents de l’UE. Il concerne toutes les organisations quelle que soit leur taille, secteur d’activité ou caractère public ou privé. Donc oui, votre association de parents d’élèves de quartier est concernée !

C’est quoi une donnée personnelle ?

Toute information qui permet d’identifier une personne physique, directement ou indirectement : un nom, une adresse IP, un numéro de téléphone, une adresse mail, une photo…  Donc les cartes de visite de clients potentiels qui trainent au fond de votre tiroir sont des données personnelles.

Certaines données sont dites « sensibles » ; il s’agit des informations qui touchent aux origines raciales ou ethniques, aux opinions politiques, philosophiques, à l’appartenance syndicale, ou relatives à la santé ou la vie sexuelle.

Quels sont les droits des citoyens de l’UE ?

Le RGPD conforte et renforce le droit des personnes concernées : droit d’information, d’accès, de rectification, droit à l’oubli, à la portabilité des données, et droit d’opposition au traitement de ses données. Le Règlement a en outre prévu une protection spécifique pour les enfants (avec une nuance entre les États membres qui peuvent fixer l’âge limite entre 13 et 16 ans). Le traitement de leurs données doit être autorisé par leur responsable légal.

Quelles sont les obligations des entreprises à l’égard du RGPD ?

1. Désigner un pilote ou DPO : Délégué à la Protection des Données.

C’est obligatoire pour les organismes publics, les activités de traitement de données, et les organisations qui traitent de données sensibles à grande échelle. Le pilote a un rôle de coordination pour suivre les étapes de la mise en conformité, et sensibiliser les équipes en interne

2. Cartographier les traitements de données : recenser toutes les données à caractère personnel possédées par l’organisation et leur traitement.

Un traitement concerne toute opération portant sur ces données, comme la collecte, l’enregistrement, la conservation, la modification, l’extraction, la consultation, l’utilisation, la diffusion ou la destruction. Compilez ces traitements au sein d’un registre en faisant apparaitre le responsable des traitements, le destinataire des données et la finalité du traitement (pour un profilage, analyses statistiques, conception d’offre commerciale…). Ce registre est consultable à tout moment par la CNIL.

3. Obtenir le consentement, donné de manière libre et éclairé, des personnes faisant l’objet d’un traitement ET garder la preuve de ce consentement.

Donc il va falloir envoyer un courrier / mail à tous vos contacts pour les informer du traitement de leurs données, dans quel objectif, et récupérer leur consentement. Profitez-en pour modifier les mentions légales de votre site Internet, ainsi que vos CGU et CGV si besoin. La rédaction d’une charte des bonnes pratiques du traitement des données au sein de votre organisation peut être une bonne idée, pour sensibiliser vos collaborateurs.

4. Contrats avec les fournisseurs / sous-traitants : notion de co-responsabilité.

Et oui, vous les avez choisi, vous allez devoir vérifier leurs garanties au regard de la mise en conformité (l’article 28 du RGPD précise ce qu’on doit retrouver dans les contrats, notamment les clauses rappelant les nouvelles obligations du RGPD).

5. Etude d’impact pour les données sensibles

L’article 35 du RGPD prévoit la conduite d’une analyse d’impact relative à la protection des données, lorsqu‘un traitement de données personnelles est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées.

Attention, en cas de violation ou de fuite de données, vous avez un délai de 72h pour le notifier à la CNIL et devez absolument informer les personnes concernées.

5. Quelles sanctions en cas de non respect du RGPD ?

La Commission Nationale de l’Informatique et des Libertés (CNIL) est l’autorité chargée du contrôle et de la bonne mise en place du RGPD. Nous sommes passés d’un système déclaratif à un système de contrôle. En cas de non respect du RGPD, les entreprises risquent une amende pouvant aller jusqu’à 2% de leur CA mondial ou 10 millions d’euros.

En savoir plus sur le site de la CNIL