1 - Qu’est-ce que le RGPD ?

Le Règlement général sur la protection des données (RGPD ou GDPR, pour General data protection regulation en anglais) est le nouveau cadre européen concernant le traitement et la circulation des données à caractère personnel, ces informations sur lesquelles les entreprises s’appuient pour proposer des services et des produits.
Avant le RGPD, existait une directive sur la protection des données personnelles qui date de 1995. Ce texte est abrogé par le RGPD.

RGPD

2 - Quel est l’objectif du RGPD ?

L’objectif de ce nouveau règlement européen est, d’une part de protéger les données des citoyens par une nouvelle réglementation plus actuelle et plus en phase avec les usages numériques d’aujourd’hui, et d’autre part, d’harmoniser le cadre juridique et les pratiques entre les différents pays européens

3 - Qui est concerné par le RGPD ?

Le nouveau règlement européen sur la protection des données concerne toutes les structures (entreprises privées, organismes publics, associations) opérant sur le territoire européen, qu’elles y soient basées ou pas. Quels que soient leur taille et leur secteur d’activité, les structures concernées devront se mettre en conformité avec les obligations réglementaires liées au RGPD, et ce avant la date fatidique du 25 mai 2018.

4. Quelles sont les données concernées ?

Le Règlement ne s’applique qu’aux « données à caractère personnel » définies comme « toute information se rapportant à une personne physique identifiée ou identifiable ».
Est réputée être une « personne physique identifiable » une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.

5. Quels sont les éléments communs entre la Loi Informatique et libertés  et le RGPD ?


Le RGPD renforce certaines obligations déjà existantes concernant la protection des données personnelles et en crée de nouvelles.
Comme dans la précédente loi Informatique et Libertés, le RGPD impose aux entreprises traitant des données personnelles :

  •  la légalité et la transparence du traitement aux yeux de la personne concernée. Les personnes dont les données personnelles ont été collectées disposent de droits inaliénables : accès à l'information, rectification, effacement, portabilité... Elles peuvent les faire valoir à tout moment. Attention, dans le cadre du RGPD, le consentement express aux traitements de ses données devra impérativement être recueilli.

Légal - Illégal

  • la cohérence des données traitées par rapport à leur finalité précise, expresse et légale, il est interdit de collecter ou de conserver des données sans lien avec la finalité du traitement.

  • l’actualisation des données : les données personnelles conservées doivent être exactes, précises et actuelles. Le responsable du traitement des données est tenu d'informer les personnes concernées en cas de violation de leurs données personnelles (art. 34 du RGPD).

  • La conservation des données : les données doivent être conservées durant une durée limitée, justifiée par la finalité du traitement.

 

6 - Quelles sont les nouveautés apportées par le RGPD ?

Alors que la Loi Informatique et Libertés obligeait à une déclaration préalable de traitement des données, le RGPD instaure un régime fondé sur la responsabilisation des entreprises. Celles-ci devront à tout moment être en possession de l’ensemble des éléments pour démontrer qu’elles respectent les obligations.

Les Responsables de Traitement devront documenter leur activité dans un Registre des Traitements qui sera obligatoire pour les entreprises ou organisations de 250 salariés et plus. Pour les entreprises de moins de 250 salariés, la tenue de ce registre sera obligatoire seulement si le traitement :

  • Comporte un risque pour les droits et des libertés des personnes concernées,
  • N'est pas occasionnel,
  • Ou porte notamment sur les catégories particulières de données.

Même hors de ces cas, il sera extrêmement conseillé, pour tous, d’en tenir un.

En outre, le RGPD introduit deux nouvelles notions fondamentales : la Privacy by design, qui consiste à intégrer la protection de la vie privée dans la conception des outils technologiques, et la Privacy by default, dont l’objet est de garantir pour chaque collecte, par défaut, le plus haut niveau possible de protection des données. Elles devront être respectées pour la création et l’exploitation de chaque traitement.

Autre aspect important du RGPD, la notion de coresponsabilité : désormais, ce n'est pas le seul "responsable du traitement" qui est juridiquement responsable des données. Les sous-traitants et prestataires de l'entreprise peuvent également assumer une responsabilité directe. Le responsable du traitement doit s'assurer de la conformité de ses fournisseurs, et les responsabilités sont distribuées en fonction de la mainmise de chacun sur les données.

7 - Qu’est-ce que le DPO (Data Protection Officer) introduit par le RGPD ?

Le rôle du délégué à la protection des données (DPD, ou DPO pour « data protection officer ») est précisé par les articles 37 à 39 du RGPD.
Le délégué est chargé de mettre en œuvre  la conformité au règlement européen sur la protection des données au sein de l’organisme qui l’a désigné s’agissant de l’ensemble des traitements mis en œuvre par cet organisme.
Sa désignation est obligatoire dans certains cas. Un délégué, interne ou externe, peut être désigné pour plusieurs organismes sous conditions.
Pour garantir l’effectivité de ses missions, le délégué :

  • doit disposer de qualités professionnelles et de connaissances spécifiques,
  • doit bénéficier de moyens matériels et organisationnels, des ressources et du positionnement lui permettant d’exercer ses missions.

DPO

8 - Dans quels cas une entreprise doit-elle obligatoirement désigner un DPO ?

La désignation d’un délégué est obligatoire pour :

  1. Les autorités ou les organismes publics,
  2. Les organismes dont les activités de base les amènent à réaliser un suivi régulier et systématique des personnes à grande échelle,
  3. Les organismes dont les activités de base les amènent à traiter à grande échelle des données dites « sensibles » ou relatives à des condamnations pénales et infractions.

Les organismes peuvent désigner un délégué interne ou externe à leur structure. Le délégué à la protection des données peut par ailleurs être mutualisé c’est-à-dire désigné pour plusieurs organismes sous certaines conditions. Par exemple, lorsqu’un délégué est désigné pour un groupe d’entreprises, il doit être facilement joignable à partir de chaque lieu d’établissement. Il doit en effet être en mesure de communiquer efficacement avec les personnes concernées et de coopérer avec l’autorité de contrôle.

9. Quelles actions sont à mettre en œuvre aujourd’hui pour assurer la mise en conformité des pratiques avec les nouvelles règles ?

Il importe d’auditer dès aujourd’hui les pratiques internes des différents services de l’entreprise (marketing, RH, IT…), mais également celles de ses partenaires.

Une étude des outils contractuels en place est également nécessaire, s’agissant en particulier des contrats avec les prestataires, des chartes internes, CGU, mentions d’information lors de la collecte des données… pour s’assurer de leur pertinence.

Une fois cet audit réalisé, les actions de mise en conformité seront identifiées et pourront être initiées : mise en place d’un registre, désignation d’un DPO, modification des contrats ou clauses contractuelles, sécurisation des traitements, refonte des CGU et formules d’information, etc.

Une cartographie des traitements et la mise au point d’un référentiel des finalités et des traitements permettront de comprendre l’état des pratiques, d’alimenter le suivi des formalités et les évolutions nécessaires, et d’établir l’existence de pratiques conformes et à jour au regard du RGPD en cas de contrôle des autorités.

Log in

10- Quelles sont les sanctions en cas de non conformité au RGPD ?

Les organisations ont tout intérêt à respecter à la lettre le RGPD car les plafonds des sanctions sont particulièrement élevés : en cas d’infraction, des amendes jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial total de l’exercice précédent sont prévues pour l’organisme fautif, sachant que c’est le montant le plus élevé qui est retenu entre les deux cas de figure.


En savoir plus