Règlement général sur la protection des données (RGPD)

rgpd

Qu'est ce que le RGPD?

Le règlement no 2016/679, dit règlement général sur la protection des données (RGPD, ou encore GDPR, de l'anglais General Data Protection Regulation), est un règlement de l'Union européenne qui constitue le texte de référence en matière de protection des données à caractère personnel. Il renforce et unifie la protection des données pour les individus au sein de l'Union européenne.

Après quatre années de négociations législatives, ce règlement a été définitivement adopté par le Parlement européen le 14 avril 2016. Ses dispositions sont directement applicables dans l'ensemble des 28 États membres de l'Union européenne à compter du 25 mai 2018.

Ce règlement remplace la directive sur la protection des données personnelles adoptée en 1995 (article 94 du règlement) ; contrairement aux directives, les règlements n'impliquent pas que les États membres adoptent une loi de transposition pour être applicables.

Les principaux objectifs du RGPD sont d'accroître à la fois la protection des personnes concernées par un traitement de leurs données à caractère personnel et la responsabilisation des acteurs de ce traitement. Ces principes pourront être appliqués grâce à l'augmentation du pouvoir des autorités de régulation.

Qu'est ce qu'une donnée personnelle?

Toute information  concernant une personne physique identifiée ou identifiable », soit directement (prénom, nom), soit indirectement (email, téléphone, identifiant, données comportementales)

Quels sont les trois objectifs du RGPD?

1. Renforcement des droits des personnes
2.Responsabilisation des acteurs traitant des données

3.Crédibilisation de la régulation

1. Le renforcement des droits des personnes

Le traitement est licite si:

  • Exécution d’un contrat
  • Obligation légale
  • Sauvegarde des intérêts vitaux
  • Le traitement est nécessaire à l’exécution d’une mission d’intérêt public
  • Intérêts légitimes

SINON:  Consentement éclairé

Transparence de l’usage:

  • Droit à l’information
  • Droit à la rectification
  • Droit à l’oubli
  • Droit à la portabilité

2. Responsabilité des acteurs traitant des données

  • Le responsable de traitement devient le garant de la protection des données
  • Chaque acteur est responsable des données qu’il traite (sous-traitant, co-traitant)
  • Suppression des obligations de déclaration à la CNIL

3. Crédibilisation de la régulation

  • Un cadre juridique unifié
  • Applicable à toutes structures traitant des données d’un citoyen européen
  • Des sanctions graduées et renforcées
  • Délais de prévenance de 72h en cas de fuite de données

Quel est le processus de la mise en conformité?

 

Désigner un pilote

        

  • Nommer un Délégué à la Protection des Données (DPD)
  • Mettre en place un conseil de la protection des données pluridisciplinaires (informatique, juridique…)

Cartographier

  • Tenir une cartographie complète et à jour

Un registre des traitements

Qui ? Quoi ? Pourquoi ? Où ? Jusqu’à quand ? Comment ?

  • Registre des sous-traitants

Qui ? Pourquoi ? Comment ?

  • Registre des violations des DP: 72h pour prévenir

Prioriser

  • Sur la base du registre des traitements de données personnelles, identifiez les actions à mener !
  • La priorisation est menée au regard des risques que font peser vos traitements sur les libertés des personnes concernées

Gérer les risques

  • Les identifier,
  • Les quantifier,
  • Mettre en place des équipements et des procédures : Mots de passe, destructeurs de papier, accès sécurisés …
  • Mener les études d’impacts sur la vie privée*

Organiser

  • Prendre en compte la protection des données dès la conception d’une application ou d’un traitement
  • Sensibiliser et organiser la remontée d’information en construisant un plan de formation et de communication
  • Traiter les réclamations et les demandes
  • Anticiper les violations de données

Documenter

  • Il faut pouvoir prouver la conformité en ayant un dossier documentaire permettant de démontrer que le traitement est conforme au règlement
  • Le DPD est le gardien de cette documentation

*Etude d'impact sur la vie privée (EIVP)

Le règlement prévoit la mise en place d’une EIVP « lorsque le traitement est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques ».

Le rôle du DPD

  • Informe, conseille et accompagne dans les démarches de conformité
  • Sensibilise aux enjeux sur la protection des données personnelles
  • Supervise des audits internes
  • Reçoit les réclamations des personnes concernées par le traitement des données personnelles et y répond
  • Coopère avec la CNIL
  • Tient un registre des traitements (cartographie) et dresse un bilan annuel

Exercices des missions du DPD

rgpd
  • Le délégué doit bénéficier du soutien de l’organisme qui le désigne.

L’organisme devra en particulier :

•s’assurer de son implication
•lui fournir les ressources nécessaires
•lui permettre d’agir de manière indépendante
•lui faciliter l’accès aux données et aux opérations de traitement 
•veiller à l’absence de conflit d’intérêts.

Externaliser le DPD

  • Le DPD peut être interne:

le plus efficace à condition d’avoir une structure capable de l’occuper.

  • Le DPD peut être mutualisé
  • Le DPD peut être externalisé

Alerte CNIL sur l’externalisation

  • Se méfier des promesses de RGPD clefs en main !
  • Bien prendre la mesure du travail à effectuer et mutualiser au maximum 

Dans le doute joindre la CNIL:

01 53 73 22 22.

 

 

 

Contacter la déléguée à la protection des données du CDG44 (dpd)