Vous êtes ici

Réglementation Européenne : RGPD

Protection des données personnelles en application au 25 mai 2018

Le nouveau règlement européen sur la protection des données personnelles (General Data Protection Regulation, GDPR ou Réglement Général sur la Protection des Données, RGPD) est paru au Journal Officiel de l’Union européenne et entrera en application le 25 mai 2018.

Identification des données personnelles :

Il s’agit de toutes les informations concernant un personne physique identifiée ou identifiable (directement ou indirectement), c’est à dire un client, un partenaire, un salarié, …

Ces données peuvent être informatisées ou non, y compris sur des documents papier.

Il existe plusieurs types de données :

  • La donnée directe : nom, prénom, numéro de téléphone, adresse mail ;
  • La donnée indirecte : adresse postal, adresse IP ;
  • La super donnée privée : ce sont les données sensibles comme les données sur la santé, , biométrie, la religion, les opinions politiques …

Ce texte de référence concerne l’ensemble des données attenantes à un individu.

Il a pour objectif de sécuriser l’ensemble des traitements des données personnelles des individus quel que soit le type de traitements : de la collecte à la diffusion ou communication en passant par l’enregistrement, la conservation, la modification, l’utilisation, la consultation, …

 

Pourquoi protéger ses données personnelles ?

A l’heure où le numérique et la mobilité explosent et suite au développement d’Internet, la protection des données personnelles est devenue nécessaire et obligatoire pour se protéger contre la manipulation potentiellement malveillante des données individuelles.

Cette réglementation devra permettre à l'Europe de s'adapter aux nouvelles réalités du numérique.

 

Les 4 principes du RGDP :

Le consentement : A partir du 25 mai 2018, les individus devront donner leur consentement concernant la collecte et le traitement de leurs données personnelles. Ce consentement pourra être retiré à tout moment par les personnes qui le demandent. En cas de contrôle par la CNIL, les entreprises devront être en mesure de prouver que les individus ont bien donné leur consentement. 

La transparence : Les entreprises devront informer leurs utilisateurs sur la manière dont leurs données seront traitées. Ce principe est lié au consentement car la transparence est la condition d’un consentement explicite et éclairé.

Le droit des personnes : Un des principaux objectifs du RGDP est de renforcer les droits des personnes physiques :

  • Un droit d’accès facilité pour tous les utilisateurs : les utilisateurs sont le droit de savoir si leurs données sont traitées ou non. Les utilisateurs peuvent demandés l’accès à leurs données.
  • Un droit de rectification des données : les utilisateurs ont le droit de demander aux entreprises que les données inexactes soient rectifiées et que les données incomplètes soient complétées.
  • Un droit d’opposition des données : les utilisateurs ont le droit de s’opposer au traitement des données pour les traitements faits à des fins de prospection.
  • Un droit à la limitation du traitement : les utilisateurs ont le droit d’obtenir la limitation du traitement lorsque les données sont inexactes, lorsque les traitements sont illicites ou qu’ils portent atteintes aux droits des personnes.
  • Un droit l’oubli pour tous les utilisateurs : les utilisateurs peuvent demander aux entreprises de supprimer les données qu’ils possèdent les concernant. Les entreprises ont un délai d’un mois pour supprimer les données. Toutes les copies des données devront aussi être effacées.
  • Un droit à la portabilité des données : il s’agit d’un nouveau droit qui permet à une personne de récupérer les données qu’elle a fournies, sous une forme aisément réutilisable et, le cas échéant, de les transférer à un tiers.
  • Un droit pour les mineurs (-16 ans) : concernant les personnes mineures de moins de 16 ans, les entreprises devront obtenir le consentement du responsable légal pour pouvoir utiliser les données.

La responsabilité : Le RGDP va responsabiliser d’avantage les entreprises dans leur traitement des données.

Exemples de mesures à mettre en place dans les entreprises :

  • Obligation faites aux entreprises de documenter toutes les mesures et procédures en matière de sécurité des données : les entreprises sont dans l’obligation de tenir un registre des traitements.
  • Privacy by Design : les responsables de traitements devront mettre en œuvre toutes les mesures techniques et organisationnelles nécessaires au respect de la protection des données personnelles, à la fois dès la conception du produit ou du service
  • Renforcement des mesures de sécurité : les entreprises sont responsables de la sécurité des données qu’elles traitent et doivent mettre en place des mesures pour garantir la sécurité des données.
  • L’encadrement des sous-traitants : si les entreprises font appel à des sous-traitants elles doivent s’assurer que leur sous-traitant respecte bien la réglementation.
  • Désigner un délégué à la protection des données : « Data Protection Officer »
  • Suppression de l’obligation de déclaration préalable à la CNIL : cette mesure permet de responsabiliser d’avantage les entreprises en développant l’autocontrôle.

Qui est concerné ?

Cette nouvelle réglementation s’adresse aux organismes publics et privés qui traitent, manipulent, gèrent ou stockent des données à caractère personnel pour le compte de particuliers, dans le cadre d'un service ou d'une prestation comme :

  • les prestataires de services informatiques ;
  • les intégrateurs de logiciels ;
  • les sociétés de sécurité informatique ;
  • les entreprises de service du numérique ou anciennement sociétés de services et d'ingénierie en informatique (SSII) qui ont accès aux données ;
  • les agences de marketing ou de communication qui traitent des données personnelles pour le compte de leurs clients ;
  • les sous-traitants des structures citées précédemment.
     

Avec l’explosion du « Big Data » et de l’intelligence artificielle, les organisations et les entreprises se doivent d'être davantage vigilantes concernant l’exploitation des données personnelles.

Les sanctions :

Si la réglementation n’est pas respectée, le GDPR prévoit deux niveaux de sanctions applicables en fonction des infractions :

  • Des amendes administratives pourront s’appliquer pour un montant allant de 10 à 20 millions d’euros.

ou

  • Dans le cas d’une entreprise, de 2 à 4 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu.

Cas où les données personnelles sont impactées :

En cas de fuite de données, de faille de sécurité, l’organisation ou entreprise est responsable de la conformité au Règlement Générale sur la Protection des Données, RGPD.

Le « Data Protection Officer », désigné par l’entreprise, devra déclarer officiellement l’incident à la CNIL dans un délai de 72 heures.
Les personnes physiques concernées devront être informées « dans les meilleurs délais » si la faille ou la violation de données comporte un risque élevé pour les droits et libertés.

 

Comment vous préparer avec l'aide de la CNIL ?