RGPD-GDPR - Nouvelle réglementation de protection des données personnelles

Logo GDPR-RGPD

 

DGPRGénéral Data Protection Régulation

ou

RGPD : Réglement Général sur la Protection des Données Personnelles

 

 

0 - LEXIQUE


1 - LE TEXTE


2 - DÉFINITION


3 - LA DATE D’ENTRÉE EN VIGUEUR


4 - QUI EST CONCERNÉ


5 - LES DROITS DES PERSONNES


6 - LES OBLIGATIONS DES ENTREPRISES


7 - LES SANCTIONS


8 - LES DÉMARCHES Á EFFECTUER


Lexique

RGPD
Le RGPD (Règlement Général sur la Protection des Données) ou GDPR (General Data Protection Regulation) est un nouveau Règlement Européen (UE 2016/679) qui encadre les règles de protection des données personnelles.
Il s’agit d’une Loi Européenne votée par le Parlement Européen, la Commission Européenne et le Conseil de l’Union Européenne.

Responsable du traitement des données
Art 3 de la Loi Informatique et Liberté : « Le responsable d’un traitement de données à caractère personnel est, sauf désignation expresse par les dispositions législatives ou réglementaires relatives à ce traitement, la personne, l’autorité publique, le service ou l’organisme qui détermine ses finalités et ses moyens ».
C’est la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement des données collectées.

Sous-traitant
La personne physique ou morale, l'autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement.

Entreprise
Personne physique ou morale exerçant une activité économique, quelle que soit sa forme juridique, y compris les sociétés de personnes ou les associations qui exercent régulièrement une activité économique.

Fichier
Tout ensemble structuré de données à caractère personnel accessible selon des critères déterminés, que cet ensemble soit centralisé, décentralisé ou réparti de manière fonctionnelle ou géographique.

Données à caractère personnel
Toute information se rapportant à une personne physique identifiée ou identifiable.

Personne physique identifiable
Une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, sexuelle, économique, culturelle ou sociale.

Traitement
Toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, la limitation, l'effacement ou la destruction.

Limitation du traitement
Le marquage de données à caractère personnel conservées, en vue de limiter leur traitement futur.

Consentement de la personne concernée
Toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l'objet d'un traitement.

Profilage
Toute forme de traitement automatisé de données à caractère personnel consistant à utiliser ces données à caractère personnel pour évaluer certains aspects personnels relatifs à une personne physique, notamment pour analyser ou prédire des éléments concernant le rendement au travail, la situation économique, la santé, les préférences personnelles, les intérêts, la fiabilité, le comportement, la localisation ou les déplacements de cette personne physique.

Violation de données à caractère personnel
Une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou l'accès non autorisé à de telles données.

 

1. Texte


Le RGPD (Règlement Général sur la Protection des Données) est un nouveau Règlement Européen (UE 2016/679) qui encadre les règles de protection des données personnelles.

2. Définition


Le RGPD a pour objectif de définir un cadre opérationnel, administratif et juridique auquel les entités (entreprises, associations, établissements publics...) doivent se conformer lorsqu'elles traitent des données personnelles de citoyens européens.
Jusqu’à aujourd’hui, toutes les règlementations en vigueur, en ce qui concernait la protection des données personnelles des individus, étaient gérées et contrôlées par la CNIL (Commission Nationale de l’Informatique et des Libertés).
Cette réglementation, propre au marché français, va disparaitre pour laisser place à un règlement harmonisé qui s’étend à l’ensemble de l’Union Européenne.
La mise en place de cette loi fait effet à l’évolution des technologies et vise à s’assurer que la protection des données soit optimale.
D’une part, le RGPD tend à responsabiliser les professionnels afin qu’ils mettent en place toutes les actions possibles pour protéger les données.
D’autre part, à accentuer les droits des individus en leur offrant plus de maitrise sur leurs propres données.
Avant toute chose, l’entreprise devra s’assurer que les traitements de données effectués soient en adéquation avec les normes de sécurité qui visent à protéger les données personnelles des individus.
Ces derniers devront clairement et de façon explicite donner leur accord quant à la collecte de leurs données personnelles et aussi en avoir l’accès dans les meilleurs délais pour les modifier ou les effacer.

3. Date d'entrée en vigueur


Le RGPD doit entrer en vigueur en France et dans les autres pays de l'UE le 25 mai 2018. Contrairement aux directives européennes, les règlements européens sont directement applicables à tous les États membres.

4. Qui est concerné ?


Le RGPD concerne toutes les structures qui offrent des produits ou services, ou surveillent le comportement des citoyens de l'Union européenne, et donc traitent leurs données personnelles, même celles qui n’ont pas d’activité sur Internet.
Il est à rappeler pour exemple que la liste des salariés d’une société est considérée comme un fichier de données personnelles.
Les grandes entreprises sont naturellement visées mais également les TPE et les PME.
Mais les obligations du règlement ne se limitent pas aux seules entreprises privées puisque les administrations et les associations sont également concernées.

5. Les droits des personnes


Le RGPD instaure de nouveaux droits pour les personnes dont les données personnelles sont traitées :

Droit à l’information
Lorsqu'il collecte les données d'une personne, le responsable du traitement doit lui fournir un certain nombre d'informations dont la liste figure aux articles 13 et 14 du RGPD.
Elle comprend notamment l'identité et les coordonnées du responsable du traitement (et le cas échéant, les coordonnées du DPO), les finalités de ce traitement, ainsi que l'indication des destinataires de ces données.

Droit à l'effacement et droit à l'oubli
L'article 17 du RGPD prévoit également un droit à l'effacement, la personne concernée peut demander l'effacement de ses données pour l'un des motifs listés dans l'article.
Le responsable du traitement devra alors procéder à la suppression des données dans les meilleurs délais.

Droit d’opposition
La personne dispose d'un droit d'opposition dans les cas listés par l'article 21 du règlement.

Droit de rectification
L'article 16 du RGPD prévoit un droit de rectification, la personne concernée peut demander la rectification de ses données personnelles.
Ces rectifications doivent être effectuées dans les meilleurs délais.

Droit à la limitation du traitement
L’article 18 du RGPD prévoit un droit à la limitation du traitement, la personne concernée peut demander la suspension de l’utilisation ou de la suppression de ses données personnelles dans les cas listés dans ce même article.
Lorsque le traitement a été limité, ces données personnelles ne peuvent être traitées qu'avec le consentement de la personne concernée, à l'exception :
    • pour la conservation desdites données,
    • pour la constatation, l'exercice ou la défense de droits en justice,
    • pour la protection des droits d'une autre personne physique ou morale,
    • pour des motifs importants d'intérêt public de l'Union ou d'un État membre.

Notification
En cas de demande de rectification (article 16) ou d’effacement (article 17) de données personnelle ou pour toute demande de limitation du traitement (article 18), l’article 19 du RGPD oblige le responsable du traitement à notifier cette demande à chaque destinataire auquel ces données personnelles ont été communiquées.
Les notifications par lettre recommandée avec avis de réception sont fortement recommandées du fait de la preuve juridique qu’elle représente.
L’article 19 limite cette obligation si une telle communication se révèle impossible ou exige des efforts disproportionnés.
Le responsable du traitement fournit à la personne concernée des informations sur ces destinataires si celle-ci en fait la demande.

Action collective
Le règlement autorise les actions de groupe, à l'instar des droits existant en matière de consommation.
Des associations pourront donc agir en justice pour faire valoir les droits des personnes en matière de protection des données personnelles.

Droit à la portabilité
Le règlement crée, par son article 20, un droit à la portabilité des données.
Il permet à une personne physique de s'approprier ses propres données et donc d'en demander :
    • la restitution, la personne peut récupérer ses données afin de pouvoir les stocker et les réutiliser pour son usage personnel ;
   • le transfert à un autre responsable de traitement. L'un des objectifs affichés de ce nouveau droit consistant à faire jouer la concurrence entre les différents responsables de traitement (à l'image de ce qui existe en matière de portabilité des numéros de téléphone, par exemple).
Le responsable de traitement d'origine ne pourra pas s'opposer à la demande de la personne concernée.

6. Mise en conformité


Le 25 mai 2018, le RGPD sera applicable. De nombreuses formalités auprès de la CNIL vont disparaître.
En contrepartie, la responsabilité des organismes sera renforcée. Ils devront en effet assurer une protection optimale des données à chaque instant et être en mesure de la démontrer en documentant leur conformité. 

6.1. Le Délégué à la protection des données (DPO)
Le RGPD prévoit la nomination d’un délégué à la protection des données, le DPO (data protection officer).
La désignation d’un DPO est obligatoire en 2018 si :
    • vous êtes un organisme public,
   • vous êtes une entreprise dont l’activité de base vous amène à réaliser un suivi régulier et systématique des personnes à grande échelle ou à traiter à grande échelle des données dites sensibles ou relatives à des condamnations pénales et à des infractions.
Dans les autre cas, la CNIL recommande fortement la désignation d’un DPO.
Vous devez déterminer quelle sera la personne au sein de votre entreprise qui sera désignée comme DPO.


Le DPO sera l'interlocuteur avec la CNIL en cas de contrôle, c'est lui qui est chargé de mettre en place des processus de contrôle et de mise en conformité au sein de l'entreprise.
Il est également chargé d'informer et de dialoguer avec les sous-traitants ou les fournisseurs avec qui vous travaillez pour déterminer comment sont traitées les données personnelles échangées et assurer la mise en conformité des sous-traitants ou des fournisseurs.
En effet, vous avez la responsabilité de la conformité des sous-traitants, fournisseurs ou services avec lesquels vous travaillez.
Votre entreprise est en conformité avec le RGPD mais l'un de vos sous-traitants n'est pas en conformité : le simple fait de lui confier des données personnelles de votre entreprise, vous fait perdre votre conformité !

6.2. Cartographier vos traitements de données personnelles
Vous devez concrètement lister tous les types de données personnelles que vous traitez (noms, prénoms, adresses, dates de naissance, téléphones, e-mails…).
Vous devez ensuite déterminer ce que vous en faites, quels traitements vous leur appliquez.
Vous devez ensuite déterminer la finalité du traitement et déterminer une durée de conservation.
Et finalement vous devez déterminer comment les données personnelles que vous détenez sont protégées du piratage.

6.3. Effectuer les corrections nécessaires
Maintenant que vous avez identifié précisément quelles sont les données que vous collectez, comment et où elles sont conservées et comment vous les protégez, vous pouvez maintenant corriger les anomalies que vous pourriez avoir détecté en supprimant les données inutiles.
Exemple : vous collectez le nom, le prénom et le numéro de téléphone, mais vous n'utilisez jamais leur numéro de téléphone.
Vous n'êtes donc pas en conformité, car la collecte de la donnée personnelle «numéro de téléphone» n'a aucune finalité utile pour votre entreprise.

 

6.4. Minimiser et vous protéger contre le vol de données
Avec le RGPD, vous devenez responsable du vol des données personnelles que vous gérez.
Vous devez déclarer le vol de ces données à la CNIL et à chacune des personnes concernées dans les 72 heures à partir du moment où vous en prenez connaissance.
Vous devez donc vous assurer que ces données sont parfaitement protégées (mots de passe de vos bases de données, sécurité des serveurs sur lesquels elles sont hébergées…).
Ne conservez pas dans vos ordinateurs des fichiers (Excel, texte, csv...) contenant des données personnelles et accessibles en quelques clics…

6.5. Obtenir l'accord explicite de vos adhérents.
Un des changements les plus importants dans le cadre de l'acquisition de données personnelles est d'obtenir l'accord volontaire et explicite de vos adhérents.

6.6. Créer un registre de traitement et modifier vos conditions de vente ou d'utilisation
L'ultime étape de votre mise en conformité RGPD consiste à créer un registre de traitement des données personnelles, sous la forme de votre choix (fichier Excel, document Word, PDF ou simple registre papier...).
Ce registre n'est obligatoire que si votre entreprise comporte plus de 250 salariés ou traite des données sensibles.
Il est considéré qu’une donnée est sensible lorsqu’elle peut nuire à l’intégrité d’une personne (orientation sexuelle, information médicale ou pénale, religion…).
Cependant, il est fortement conseillé à toute entreprise de tenir ce registre, car, en listant chaque traitement et leur finalité, il vous aidera à devenir et à rester en conformité avec le RGPD.
D'autre part, en cas de contrôle de la CNIL, il prouvera votre bonne foi dans vos efforts à vous mettre en conformité, même si vous commettez quelques erreurs presque inévitables au vu de la complexité de ce règlement.
De plus, ce registre doit pouvoir être consulté sur demande par les personnes dont vous détenez des données personnelles.


7. Sanctions de la CNIL


Le règlement étend le pouvoir de sanction de la CNIL.
Celle-ci pourra désormais infliger des amendes pouvant aller jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires mondial de l'entreprise concernée.

 

Jf-G