13 avril 2018

La RGPD arrive, êtes-vous prêt ?

RGPD, protection des données

Le Règlement Général sur la Protection des Données (RGPD) a pour vocation de renforcer la protection des données personnelles de l’ensemble des citoyens européens. Les entreprises détenant des données personnelles sont donc confrontées à de nouvelles mesures et obligations imposées par le règlement.

 

Qu’est ce que la RGPD ?

 

Le Règlement Général pour la Protection des Données a pour objectif d’harmoniser les législations européennes en ce qui concerne la protection des données personnelles des citoyens. Il s’agit là donc d’une véritable force pour le citoyen.

A partir du 25 mai 2018, il sera obligatoire pour les entreprises d’assurer la sécurité informatique des systèmes d’informations pour protéger l’ensemble des données personnelles de leurs clients, salariés, fournisseurs ou encore des sous-traitants.

 

La RGPD met donc en avant 7 droits :

  1. Le droit d’opposition
  2. La transparence des informations et des communications
  3. Le droit d’accès à la donnée de la personne
  4. Le droit de rectification
  5. Le droit à l’oubli
  6. Le droit à la portabilité des données
  7. Le droit à la limitation du traitement

 

 

 

Qu’est ce qu’un donnée personnelle ?

 

Selon la Commission Nationale de l’Informatique et des Libertés (CNIL), “Les données sont considérées « à caractère personnel » dès lors qu’elles concernent des personnes physiques identifiées directement ou indirectement. Une personne est identifiable lorsqu’un fichier comporte des informations permettant indirectement son identification (ex. : adresse IP, nom, n° d’immatriculation, n° de téléphone, photographie, éléments biométriques tels que l’empreinte digitale, ADN, numéro d’Identification Nationale Étudiant (INE), ensemble d’informations permettant de discriminer une personne au sein d’une population (certains fichiers statistiques) tels que, par exemple, le lieu de résidence et profession et sexe et âge,….).”

Pour en savoir plus : http://www.cil.cnrs.fr/CIL/spip.php?rubrique299

 

 

Qui est concerné par la RGPD ?

 

L’objectif de ce règlement est de faire en sorte que l’ensemble des acteurs professionnels qui traitent des données à caractère personnel prennent conscience de leurs responsabilités ainsi que de leurs devoirs.

Est concerné :

  • L’ensemble des entreprises quelque soit leur taille : Start-up, TPE, PME, ETI, GE, …
  • Les organismes publics, à l’exception des juridictions,
  • Les associations
  • Les sous-traitants
  • Etc …

 

Qu’est ce qu’impose la RGPD ?

 

La RGDP formalise des obligations pour les entreprises :

  • La nomination d’un DPO (Data Protection Officer) si votre entreprise exploite des données personnelles à grande échelle, un DPO est obligatoire pour les entreprises du secteur public.
  • Le principe d’information : Tous les individus doivent avoir connaissance de leurs droits et accepter la collecte ainsi que le traitement de leurs données personnelles.
  • Le principe d’auto-responsabilité : En cas de contrôle ou de demande, l’entreprise doit être en mesure de démontrer sa conformité.
  • Le principe de licéité : Les données personnelles collectées ne peuvent être utilisées que pour un usage donné qui correspond aux missions du responsable de traitement.
  • Le principe de minimisation : Seules les données nécessaires à l’exercice de l’activité de l’entreprise peuvent être conservées. La conservation des données est limitée à une durée égale à celle de l’exécution du contrat.
  • La sécurité et la gouvernance des données par défaut : La sécurité des données est activée par défaut, ce n’est plus une option.

 

 

 

Pourquoi respecter la RGPD ?

 

En cas de non respect des mesures instaurées par la RGPD, les autorités de protection disposent de nombreuses actions :

  • La mise en demeure de l’entreprise,
  • La limitation temporaire ou définitive d’un traitement
  • Le prononcement d’un avertissement,
  • La suspension des flux de données
  • Ordonner la rectification ou même l’effacement des données
  • Le délivrement d’une amende : soit jusqu’à 2% du chiffre d’affaires annuel de l’entreprise, ou 10 millions d’euros pour une entreprise non conforme, soir jusqu’à 4% du chiffre d’affaires annuel ou 20 millions d’euros pour le non-respect du droit des internautes.