Qu’est-ce que le RGPD ?

conformité RGPD

Le RGPD, Réglement Général sur la Protection des Données ou GDPR en Anglais (General Data Protection Regulation) est un règlement normatif à portée générale sur la protection des données.

 

L’objectif du RGPD (GDPR) est de mieux protéger les données nominatives des personnes. Jusqu’à présent, au niveau européen, la directive 95/46/CE existait mais n’imposait rien. En effet, en tant que directive, elle n’avait pas de connotation obligatoire. Chaque pays interprétait et mettait plus ou moins en œuvre la protection des données personnelles. Il n’y avait donc pas d’harmonisation européenne dans ce domaine. Maintenant avec le RGPD, toutes les organisations collectant des données de résidents européens doivent se conformer aux exigences de ce règlement. L’application de ce règlement est obligatoire et toutes les organisations qui ne se conforment pas au RGPD après la date d’application fixée au 25 mai 2018 encourent des sanctions.

 

Les objectifs et les enjeux du RGPD GDPR:

 

– Améliorer la protection des données personnelles des personnes physiques en imposant aux organisations le privacy by design et le security by default:

Privacy by design:  Il s’agit du concept de la « protection de la vie privée dès la conception ». Chaque nouveau traitement des données personnels doit garantir dès sa conception, un niveau de sécurité des données personnelles le plus haut possible.

security by default: Le RGPD impose d’avoir un système d’information sécurisé. Des politiques de sécurité doivent être en place afin de sécurisé le système d’information dans son ensemble.

– Répondre à toutes réclamations faites par la personne concernées par la collecte d’informations (modification, suppression, portabilité…)

– Accountability : Responsabiliser les organisations qui collectent et traitent des données personnelles. Elles doivent prendre toutes les mesures pour garantir la sécurité des données et prouver leur conformité au RGPD.

– Uniformiser et harmoniser au niveau européen la réglementation sur la protection des données à caractère personnel.

 

L’organisation a obligation de savoir à tout moment:

  • le type de données qu’elle collecte
  • Où sont stockées ces données
  • La finalité de la collecte, c’est à dire pour qu’elle raison elle a collecté ces données
  • La gestion des données
  • La gestion des réclamations (modifications, effacements demandés par la personnes à qui appartient ces données)

 

 

Qui est concerné par le RGPD ?

Toutes les organisations qui mettent en œuvre un traitement de données à caractère personnel appartenant à un résident de l’UE. Seules les activités dans le cadre personnel ne sont pas concernées sauf s’il y a des objectifs pécuniaires.

 

Qu’est ce qu’une donnée à caractère personnel ?

Toute information qui peut être relative à une personne physique directement ou indirectement identifiée. Cela peut être son nom, adresse, numéro de téléphone, numéro de compte bancaire, adresses email et IP etc..

Cependant, les données dites sensibles sont à prendre en compte avec encore plus de « sérieux ». Ces données sont par exemple:

  • Origines raciales ou ethnique
  • Opinion politique, religieuse
  • Appartenance syndical
  • Orientation sexuelle
  • Information sur la santé et les données infractions ou condamnations pénales

Quel est le cadre de la collecte de données ?

La collecte de données doit se faire de manière loyales et limitées à la finalités du traitement. C’est à dire que la collecte ne doit pas concerner des données qui ne sont pas nécessaire au traitement. De plus les données collectées doivent être exactes, pertinentes et adéquates. Elles doivent être aussi mise à jour lorsque cela est nécessaire. RGPD introduit aussi un principe de limitation de la conservation des données. Les données ne doivent pas être conservées au delà du délai utile aux finalités du traitement. Les principes de privacy by design et security by default sont essentiels pour la protection des données.

 

Le respect des droits de la personne concernée par la collecte et le traitement des données

La personne concernée par le traitement doit être informée que ses données vont être collectées, de quelle façon, par qui et pour quelles raisons. Elle est aussi informée du type de données collectées ainsi que de la finalité du ou des traitements.Elle doit donner son accord explicite pour que ses données soient collectées et traitées.

Le RGPD assure à la personne concernée par le traitement de données à caractères personnel les droits suivants:

  • le droit d’accès
  • le droit  de rectification de données inexactes
  • le droit d’obtenir l’effacement de ses données
  • le droit à la limitation du traitement des données
  • le droit à la portabilité
  • le droit d’opposition au traitement des données

 

Le DPO

Le DPO pour Data Protection Officer ou Délégué à la protection des données est le chef d’orchestre de la conformité en matière de protection des données au sein de l’organisation.

Son Rôle est:

  • d’informer l’organisation et ses employés sur leurs obligations relatives à la protection des données personnelles.
  • de veiller au respect du RGPD
  • de  conseiller l’organisation sur la réalisation de l’étude d’impact (PIA – Privacy Impact Assessment)
  • d’être le point de contact de la CNIL

Le DPO est obligatoire pour les organisations publiques ou privées qui collectent des données à grande échelle et/ou sont amenées à traiter des données sensibles.

 

L’étude d’impact – PIA

Lorsqu’il existe un risque élevé induit par un traitement pour les droits et libertés des personnes, il convient de réaliser une étude d’impact. Cette étude d’impact doit être menée avant la mise en œuvre du ou des traitements susceptibles d’engendrer des risques élevés.

Le contenu de l’étude d’impact doit faire apparaître :

  • une description du traitement (et de ses finalités)
  • une évaluation de la nécessité
  • une appréciation des risques
  • les mesures pour traiter les risques

 

Les conséquences de la non-conformité au RGPD

Pour la France, l’autorité de contrôle qui a pour mission de contrôler l’application du règlement général sur la protection des données (RGPD ou GDPR) est la CNIL. La CNIL peut enquêter de sa propre initiative ou à la suite d’une réclamation d’une personne concernée par un traitement de données personnelles.

Si la CNIL constate une violation du règlement elle peut, en plus d’exiger la conformité effective, prononcer des amendes administratives en fonction du type de non-conformité:

2% du CA mondial ou 10 millions d’euros pour par exemple l’absence de notification d’incident de sécurité concernant les données personnelles auprès de la CNIL, absence d’un registre de traitements ou encore nomination d’un DPO lorsque cela est nécessaire.

ou 4% du CA mondial ou 20 millions d’euros pour les violations les plus graves comme par exemple le non respect d’une injonction de la CNIL, le non respect des droits des personnes concernées etc…

 

Consultez les outils disponibles pour augmenter la sécurité de votre système d’information