Jiga

RGPD, comprendre le règlement EU sur la protection des données

Tout d’abord que signifie RGPD ?

C’est le Règlement Général sur la Protection des Données. Il est à destination des entreprises et autres organisations dans le but d’harmoniser, simplifier et renforcer la protection des données personnelles.

 

Changement-legislatif

A qui s’appliquera-t-il ?

Le RGPD s’applique à toute structure ciblant ou ayant un établissement dans l’union européenne qui traite des données à caractère personnel.
Le lieu de stockage, le secteur d’activité ou en encore la taille de l’entreprise ne sont pas des critères pris en compte.

Dans le cadre de ce règlement la notion de données à caractère personnel correspond à “toute information concernant une personne physique identifiée ou identifiable” que ce soit directement ou indirectement.
Les données indirectes sont par exemple un numéro de téléphone ou encore un identifiant. Autant dire qu’un grand nombre de données et de sociétés sont concernés.
Plus encore les données collectées sur internet de nature comportementales, si elles sont croisées à une identité, deviennent par ce fait des données à caractère personnel.

La réglementation est donc relativement précise quant à cette notion de caractère personnelle il ne serait pas étonnant de la voir encore plus se préciser avec de nouveaux cas.

Le RGPD est la continuité de dispositifs nationaux et européens ayant déjà été instaurés, l’objectif étant là d’uniformiser, contrôler et renforcer les obligations pour la protection de ce type de données.

L’exemple le plus connu est la loi Informatique et libertés qui se basait jusque-là sur du déclaratif et des contrôles ponctuels. Cependant ce nouveau règlement général européen remplace cette obligation de déclaration par une obligation de prouver à chaque moment que l’entreprise protège les données.

4 nouveaux principes

rgpd-computacenter

Le RGPD vient renforcer des obligations déjà en place et en crée de nouvelles en matière de protection de données à caractère personnelles, voici par exemple 4 nouveautés introduites par cette nouvelle norme qui impose aux organisations de faire le nécessaire pour se mettre en conformité.

 Principe de coresponsabilité: La responsabilité juridique ne se limite pas au « responsable du traitement » mais également aux sous-traitants et partenaires. Les sociétés doivent donc s’assurer de la conformité des fournisseurs vis-à-vis de la nouvelle réglementation. En cas de défaillance les sanctions sont appliquées en fonction de la mainmise de chaque partie sur les données.

La démarche de privacy by design: Le RGPD implique une refonte des systèmes non conforme car les données devront être identifiées en tant que telles dans le système tout en limitant leurs accès. Le privacy by design doit être intégré en dur dans le code source des logiciels utilisés par l’entreprise.

La démarche de security by default: Le RGPD impose une exclusion par défaut des données personnelles afin de se limiter uniquement à celles dont l’utilisation est strictement nécessaire. Les outils et logiciels doivent donc se conformer à ce principe de discrimination de ces données.

La démarche d’accountability: La présence de registres présentant les traitements réalisés avec les données doit être en possession du responsable du traitement. Ainsi il lui sera possible de prouver la bonne protection des données à caractère personnel.

Le DPO

Le RGPD prévoit des changements sur la gestion des données et pour ce faire il créé un poste de DPO (délégué à la protection des données) pour certaines structures. Dans quels cas devient-il obligatoire?

La désignation d’un DPO, qui assurera la conformité au RGPD, est obligatoire dans certains cas: lorsque les données sont traitées par une institution publique et si les activités de base de l’organisme imposent un suivi régulier et systématique à grande échelle des personnes (par exemple la lutte contre la fraude et les actions marketing ciblées) ou si les activités de base de l’organisme consistent en des traitement à grande échelle de données sensibles (par exemple les banques)

Sanctions

rgpd-reglement-europeen-protection-donnees-543

Les sanctions pour non-respect du règlement imposent d’importantes amendes administratives: jusqu’à 4% du chiffre d’affaires annuel mondial. De quoi inquiéter les retardataires! Les différents organismes ont jusqu’au 25 mai 2018 pour se mettre en conformité avec le RGPD, qui a été voté officiellement pour le 24 mai 2016. Passé ce délai, les sanctions pourront être appliquées par les autorités compétentes contre les sociétés en défaut. Il faut noter également que la CNIL annonce que les sanctions seront graduées, encadrées et renforcées par rapport aux lois précédentes.

Il y aura donc plusieurs étapes appliquées par les autorités de protection qui commenceront par un avertissement, ensuite une mise en demeure pour la mise en conformité.

le 25 Mai 2018 RGPD

 

Cependant, d’éventuelles suspensions de traitement de données peuvent être prononcées, ce qui risque de pénaliser fortement les sociétés dont l’activité principale est le traitement de ces dernières.

Selon le type et la gravité de l’infraction, les amendes administratives vont de 10 à 20 M€ ou de 2 à 4% du chiffre d’affaires mondial.

Il est donc important de considérer ce changement de législation avec une grande attention et lancer le processus de mise en conformité dès que possible afin de respecter les délais impartis.

 

Ainsi le respect de cette nouvelle réglementation permet d’une part une meilleure protection des données à caractère personnel et d’autre part d’éviter les lourdes sanctions prévues par les autorités.

Si vous souhaitez approfondir le sujet vous pouvez consulter ce dossier RGPD.

 

Phishing-example-Amazon-Prime-22-12-2015

En résumé ce que la CNIL préconise en 6 étapes

1 – Désigner un pilote pour le projet

2 – Déterminer quels sont les traitements de données à caractère personnel opérés en interne

3 – Selon les résultats prioriser les actions en fonction des risques encourus pour les données

4 – Analyser l’impact de ces risques afin de mettre en place des correctifs

5 – Organiser les processus en interne pour garantir le respect de la protection des données

6 – Constituer un dossier permettant de prouver la mise en conformité

 

JIGA et ses partenaires spécialisés vous conseillent et vous accompagnent dans cette étape de mise en conformité avant le 25 Mai 2018.

 

 

Réagir

captcha *